Siber güvenlik araştırmacıları, DeepSeek yapay zeka modeli kullanılarak oluşturulan ve 'gerçekçi olmayan tarayıcı kötü amaçlı yazılım konseptleri' ile gerçek bir tarayıcı yeteneğini birleştiren yeni bir kötü amaçlı yazılım tespit etti. Check Point tarafından yapılan açıklamaya göre, bu yazılım Windows ve Android cihazlarda tamamen tarayıcı içinde çalışan bir fidye yazılımı tekniğine dönüşüyor. Araştırmacılar, bunun bir yapay zeka modelinin teorik bir tarayıcı fidye yazılımı riskini pratik ve çalışan bir saldırı zincirine dönüştürdüğü ilk belgelenmiş vaka olduğunu vurguluyor.
Tespit edilen örnek, 'deepseek_python_20260125_da0631.py' adlı bir Python Flask uygulaması olup 25 Ocak 2026'da VirusTotal'a yüklendi. Google'a ait kötü amaçlı yazılım tarama servisi, bu uygulamayı 'tam işlevli bir bilgi çalma ve fidye yazılımı araç seti' olarak tanımlarken, kötü amaçlı yazılım yazarı tarafından InfernoGrabber v9.0 olarak adlandırıldı. Uygulama, sahte bir Discord avatar yapay zeka yükselticisi ile kurbanları cezbeden kötü niyetli bir web sunucusu olarak çalışıyor; Discord token'larını çalma, kredi kartı numaralarını ve kripto para tohum ifadelerini toplama, tuş vuruşlarını kaydetme ve izinsiz webcam ile mikrofon erişimi gibi zararlı eylemler gerçekleştiriyor.
Bu saldırı tekniği, bir kimlik avı tuzağı kullanarak kullanıcıyı bir web sayfasına dosya sistemine erişim izni vermeye ikna ediyor. Ardından seçilen klasördeki dosyaları listeleyip içeriklerini okuyor, şifreleyip üzerine yazıyor ve son olarak kurban için bir fidye notu görüntülüyor. Bu saldırının sıra dışı yanı, yerel bir yüklemeye, tarayıcı güvenlik açığına veya root erişimine ihtiyaç duymadan gerçekleştirilebilmesi. Ancak bu yaklaşım, yalnızca Google Chrome ve diğer Chromium tabanlı tarayıcılarda bulunan Dosya Sistemi Erişim API'sini (File System Access API) kullanan tarayıcılarla sınırlı. Check Point araştırmacıları, saldırının Windows, macOS, Linux, Android ve Microsoft Edge üzerinde çalıştığını, yalnızca iOS'ta başarısız olduğunu doğruladı.
Detaylar ve Etkileri
Yapay zeka destekli geliştirmenin endişe verici bir yönü, kötü niyetli aktörlerin bu tür saldırıları gerçekleştirmek için teknik bilgiye sahip olmalarına gerek olmaması. DeepSeek gibi modeller, kısıtlı korumaları sayesinde geniş ve soyut kötü niyetli taleplerden çalışan saldırı kodları üretebiliyor. Check Point Araştırma Başkanı Eli Smadja, 'Yeni siber saldırıların nasıl doğduğuna dair temel bir değişime tanık oluyoruz. İlk kez, bir yapay zeka modelinin meşru platform özelliklerini bağımsız olarak değerlendirip, insanların yalnızca teoride tartıştığı çalışan bir saldırı tekniği ortaya çıkardığına dair kanıtımız var' dedi. Bu durum, savunmacıların artık yapay zeka destekli tehditlere karşı hazırlıklı olması gerektiğini gösteriyor.