A Check Point identificou uma nova forma de ransomware que «dispensa a instalação de aplicações, descarregar de ficheiros maliciosos ou a exploração de vulnerabilidades». Em vez disso, o ataque é «executado no próprio browser» com uma «funcionalidade legítima» que permite o acesso a ficheiros locais, desde que o utilizador conceda essa permissão.
A descoberta surgiu durante a análise de «milhares de ficheiros associados ao modelo DeepSeek», diz a empresa de segurança. Embora o código encontrado apresentasse «várias limitações», os investigadores verificaram que a IA conseguiu ligar uma funcionalidade existente nos browsers, a File System Access API.
Para demonstrar o risco, a Check Point desenvolveu uma prova de conceito baseada numa «falsa ferramenta de edição de fotografias com IA». Depois de o utilizador autorizar o acesso a uma pasta para guardar as imagens processadas, a página «passa a poder alterar ou encriptar os ficheiros aí existentes». Segundo a empresa, o Android é actualmente a «plataforma mais exposta» a este tipo de ataque, devido ao suporte desta API nos browsers baseados em Chromium.
Apesar de «não existirem indícios» de que esta técnica esteja já a ser utilizada por cibercriminosos, a Check Point considera que o caso demonstra uma «nova realidade»: os modelos de IA podem descobrir «combinações inesperadas entre funcionalidades legítimas e objectivos maliciosos».
A empresa recomenda ainda que os utilizadores encarem qualquer pedido de acesso a pastas no browser como uma «decisão de segurança» e evitem «conceder permissões a directórios que contenham informação sensível».
