Siber güvenlik araştırmacıları, DeepSeek yapay zeka modeli kullanılarak oluşturulmuş yeni bir kötü amaçlı yazılım tespit etti. Bu yazılım, 'gerçekçi olmayan tarayıcı fidye yazılımı konseptleri' ile 'gerçek bir tarayıcı yeteneğini' birleştiren yeni bir saldırı yöntemi geliştirdi. Check Point araştırmacıları, bu tekniğin tamamen tarayıcı içinde çalıştığını ve hem Windows hem de Android cihazları hedef aldığını belirtti. Bu, daha önce belgelenmemiş bir saldırı zinciri olarak kayıtlara geçti.
VirusTotal’a 25 Ocak 2026’da yüklenen Python Flask uygulaması 'deepseek_python_20260125_da0631.py', Google’ın kötü amaçlı yazılım tarama hizmeti tarafından 'tamamen işlevsel bir bilgi hırsızı ve fidye yazılımı araç seti' olarak tanımlandı. Yazılım, sahte bir Discord avatar AI yükselticisi ile kurbanları cezbediyor ve arka planda Discord token’ları çalma, kredi kartı numaraları toplama, tuş kaydı yapma ve webcam/mikrofon verilerini ele geçirme gibi birçok zararlı eylem gerçekleştiriyor.
Saldırı tekniği, kurbanı bir web sayfasına dosya sistemi erişimi vermeye ikna eden bir kimlik avı tuzağı kullanıyor. Ardından seçilen klasördeki dosyaları listeleyip okuyor, şifreleyip üzerine yazıyor ve fidye notu gösteriyor. Bu işlemler, yerel bir yük yüklemeden, tarayıcı açığı kullanmadan veya root erişimi gerektirmeden gerçekleştiriliyor. Saldırı, Chromium tabanlı tarayıcıların Dosya Sistemi Erişim API’sini kullandığı için Windows, macOS, Linux, ChromeOS ve Android’de çalışıyor; sadece iOS’ta başarısız oluyor.
Uzmanların Görüşleri
DeepSeek’in bu saldırıyı üretebilmesi, yapay zeka modellerinin siber tehditleri nasıl dönüştürdüğünü gösteriyor. Check Point araştırmacıları, DeepSeek’in Batılı modellere kıyasla kötü niyetli isteklere daha düşük reddetme oranı sunduğunu ve tek bir geniş komutla çalışan bir kötü amaçlı yazılım üretebildiğini vurguluyor. Bu durum, saldırganların karmaşık saldırıları hayata geçirmek için artık teknik uzmanlığa ihtiyaç duymadığını, sadece genel bir fikrin yeterli olduğunu ortaya koyuyor.