Un’allucinazione dell’AI generativa ha inventato un ransomware dentro il browser.
La tipica allucinazione generativa, a una prima occhiata, si è invece trasformata in un’AI in grado di generare ransomware nel browser. Infatti è riuscita a legare il rischio ipotetico dei browser alla classica cifratura da attacco ransomware, attivabile senza codici nativi, exploit o competenze evolute.
A maggior rischio sono i device Android, dove l’attacco permette di accedere alla cartella DCIM (con raccolte di immagini personali, documenti frutto di scansione, screenshot bancari e codici di recupero). Ma l’attacco colpisce anche i browser desktop, basati su Chromium, per Windows, macOS e Linux. Invece sono immuni iOS Safari e Chrome per iOS e FireFox.
Secondo Alessandro Curioni, Presidente e fondatore di DI.GI Academy, “se gli androidi di P. K. Dick sognavano pecore elettriche, le intelligenze artificiali sognano ransomware.
“I sistemi LLM attualmente sono l’interfaccia più di alto livello che abbiamo a disposizione, ma soffocano sempre di più le nostre capacità di ‘studiare sotto il cofano”, commenta Dario Fadda, esperto di cyber sicurezza e collaboratore di Cybersecurity360.
Indice degli argomenti
Fra rischio teorico di abuso da parte del ransomware e cifratura della cartella
Il team di Check Point Research è riuscito ad isolare una tecnica mettendo al setaccio circa 3 mila file, che la telemetria pubblica ha attribuito a DeepSeek, scoprendo un’applicazione Python Flask, nota come InfernoGrabber.
Il codice generato ha invocato un metodo dell’API File System Access che, legittimamente, consente a una pagina web la richiesta di accesso a una cartella sul dispositivo dell’utente, lettura dei file contenuti, modifica degli stessi e trasmissione del contenuto a server remoto. Senza installazione ed exploit, ma solo con un prompt di autorizzazione.
Tuttavia “aprire una pagina web e concederle accesso a una cartella di foto può equivalere, di fatto, a eseguire malware sul proprio dispositivo”, avverte Dario Fadda.
Il caso DeepSeek
L’API File System Access non ha origine da intenti malevoli, ma nasce per consentire ad applicazioni web legittime, come editor di fotografia e tool creativi, di leggere e scrivere file in una cartella locale, dopo aver ottenuto un consenso esplicito dell’utente.
Gli ingegneri dei browser avevano in realtà già denunciato il rischio ipotetico di abuso da parte di un ransomware, ma la comunità cyber aveva rigettato l’ipotesi respingendola per la scarsa praticabilità. Invece DeepSeek ha generato un campione che testimonia la fallacia di queste teorie.
Partendo dall’app, l’AI cinese, spontaneamente, ha pianificato il furto di token Discord, oltre a recuperare numeri di carta di credito, raccogliere le seed phrase dei wallet e ad accedere alla webcam. Ma era finita lì l’iniziativa di DeepSeek.
Infatti gli esperti avevano considerato frutto di allucinazioni le funzioni generate e dunque senza vera efficacia. A funzionare era però la capacità di cifrare da parte della cartella, l’unica richiesta di avvio avanzata da chi aveva dato in pasto interrogazioni al modello.
La catena di attacco
La catena di attacco sfrutta il fatto che la vittima del social engineering atterri su una pagina affine a un upscaler AI per avatar, che, per elaborare l’immagine, chiede l’accesso a una cartella locale.
Gli utenti s’illudono che le applicazioni web chiedano il permesso per il salvataggio dei file modificati, invece la pagina malevola, dopo aver letto i file della cartella scelta, compie l’esfiltrazione del contenuto e la cifratura.
A quel punto arriva la richiesta di riscatto in Bitcoin, senza il download di un eseguibile nativo o l’installazione sul dispositivo.
“Tutto piuttosto normale”, continua Alessandro Curioni, “dove normale va letto in relazione a i tempi che corrono e al generalizzato stupore che accompagna ogni nuova performance di qualsiasi IA. Personalmente credo che di cose simili ne vedremo ancora molte, per il semplice motivo che sono abbastanza convinto che il vero obiettivo per cui esistono le intelligenze artificiali è esattamente questo: trovare pattern nascosti all’interno della fantasmagorica quantità di dati che noi esseri umani siamo riusciti a produrre prima e a conservare poi“.
Come mitigare il rischio dell’AI che genera ransomware nel browser
L’attaccante ha sfruttato DeepSeek perché, gratuito e accessibile, è l’unico fra i principali vendor di AI a non aver bloccato le richieste che hanno legami con comportamenti ransomware, furto di credenziali o distribuzione di malware.
Infatti, DeepSeek si pone come strumento attraente per i threat actor dotati di competenze tecniche scarse.
“L’utilizzo degli strumenti informatici attuali, sia in ambito personale che professionale, stanno facendo crollare drasticamente le capacità tecniche delle persone (che prima invece erano nettamente superiori). Il ‘fare’ ogni cosa sempre più ad alto livello (programmare, fare analisi, rilevare minacce, studiare) sta indebolendo la conoscenza umana anche in ambito IT e questo caso ne è la dimostrazione. I sistemi LLM attualmente sono l’interfaccia più di alto livello che abbiamo a disposizione che soffocano sempre di più le nostre capacità di ‘studiare sotto il cofano’”, mette in guardia Dario Fadda.
Al momento della pubblicazione, CheckPoint nega evidenze di campagne attive, ma questa specifica tecnica dimostra tquanto sia facile sferrare un attacco funzionante senza sforzi e senza competenze.
Raccomandazioni
Si suggerisce di cessare di concedere accesso alla libreria fotografica principale o a directory con dati sensibili alle pagine web. Preferibile l’indicazione di una cartella vuota. Invece occorre eseguire backup regolari per ripristinare copie disponibili dei file cifrati.
“Dobbiamo evitare di concedere a siti sconosciuti accesso diretto alle librerie di foto o a directory con dati irripetibili, preferendo app e servizi consolidati per la gestione di contenuti sensibili. Più in generale, questa ricerca conferma che l’AI non ‘inventa’ solo nuovo malware, ma abbassa drasticamente la soglia tecnica“, conclude Dario Fadda.
“Oggi è un nuovo percorso di attacco, domani potrebbe essere una nuova molecola salva-vita. Si chiama dual-use e di questo l’IA e ne è il vero manifesto. Se non riuscissero a fare questo staremmo qui a domandarci cosa ne facciamo di un software che parla bene oltre che a metterlo nelle bambole”, mette in evidenza Curioni.











Partecipa alla community