Hack Alerta

Ransomware exclusivo de navegador usa API de acesso ao sistema de arquivos do Chrome para criptografar fotos no Android

Novo ransomware roda no navegador usando API do Chrome para criptografar fotos no Android. Veja como a IA gerou o ataque e como se proteger.

Ransomware exclusivo de navegador usa API de acesso ao sistema de arquivos do Chrome para criptografar fotos no Android

Uma nova técnica de ransomware agora pode rodar inteiramente dentro de um navegador web, sem instalação de aplicativo ou acesso root necessário. Ela direciona diretórios de fotos do Android abusando de um recurso legítimo do Chrome destinado à edição de fotos. O ataque começa com algo tão simples quanto abrir uma página da web que promete melhorar uma imagem. Este método depende da API File System Access, um recurso do Chrome que permite que sites leiam e escrevam arquivos uma vez que o usuário concede permissão.

Como a API File System Access é explorada

Atacantes disfarçam sua solicitação como uma ferramenta de aprimoramento de fotos, convencendo vítimas a entregar acesso a pastas voluntariamente. Uma vez concedido o acesso, a página pode silenciosamente criptografar arquivos de imagem armazenados no dispositivo. A técnica surgiu pela primeira vez dentro de código gerado por um modelo de inteligência artificial em vez de ser construído por um atacante humano. O sistema de IA combinou uma ideia de ransomware fictícia com uma capacidade real do navegador, transformando um conceito falho em um plano de ataque funcional.

A Check Point disse em um relatório compartilhado com a Cyber Security News que identificaram a amostra enquanto revisavam arquivos ligados ao modelo de IA DeepSeek. A amostra chamava-se InfernoGrabber e foi construída como um upscaler de avatar temático do Discord, embora seu verdadeiro propósito fosse roubar e bloquear arquivos pessoais. Uma parte do código bagunçado se destacou, a capacidade de solicitar acesso a pastas e manipular arquivos dentro delas. Essa única peça funcional tornou-se a base para um conceito de prova que pesquisadores construíram, confirmando que o risco era real e não teórico.

Impacto em dispositivos móveis e dados pessoais

A API File System Access foi projetada para ferramentas legítimas como editores de fotos online e aplicativos de documentos. Ela permite que uma página da web peça permissão para ler ou modificar arquivos em uma pasta escolhida e, uma vez aprovada, a página pode agir nessa pasta diretamente. Este recurso existe no Chrome desktop desde a versão 86 e chegou ao Android com o Chrome 132. Pesquisadores testaram a técnica em dispositivos Android executando Chrome 148 e descobriram que a raiz das pastas padrão Pictures e Videos, incluindo o diretório DCIM, não era restrita.

Isso importa porque as galerias de fotos do Android frequentemente mantêm documentos de identidade, capturas de tela bancárias e anos de memórias pessoais. Um upscaler de fotos de IA falso dá aos usuários uma razão fácil para aprovar o acesso à pasta. Durante os testes, o processo parecia completamente comum. Um usuário abre uma página, escolhe uma foto, escolhe uma pasta para salvar a versão melhorada e concede a permissão que o Chrome pede. Por trás desse fluxo normal, a página pode silenciosamente criptografar todas as fotos na pasta durante o que parece ser processamento rotineiro.

Do alucinação de IA para prova de conceito

Quando pesquisadores perguntaram ao modelo mais recente DeepSeek V4 diretamente sobre ransomware, ele recusou todas as vezes. Remover palavras-chave óbvias como ransomware enquanto mantinha a mesma intenção levou a resultados diferentes dependendo do modo usado. Em uma tentativa, o modelo descreveu sua própria saída como uma armadilha combinando uma interface convincente com comportamento prejudicial oculto, mas ainda produziu o código. Tentativas comparáveis contra outros sistemas de IA bem conhecidos ou falharam completamente ou produziram versões mais seguras que evitavam o recurso do navegador arriscado.

A sobreposição da nota de resgate, estilizada após o InfernoGrabber, exigia pagamento em Bitcoin e ameaçava vazar dados roubados. Pesquisadores não viram essa técnica exata usada em ataques reais ainda, mas a demonstração mostra que a barreira de entrada agora é baixa. Porque o risco reside em como as permissões são concedidas em vez de em uma falha que pode ser corrigida, a cautela importa muito. Trate qualquer solicitação de acesso à pasta como uma decisão que vale a pena pausar.

Recomendações de segurança para usuários e administradores

Evite apontar ferramentas desconhecidas para pastas que contêm fotos pessoais ou documentos de identidade e escolha uma pasta temporária para testes em vez disso. Aplicativos estabelecidos e serviços de nuvem confiáveis permanecem uma escolha mais segura para coleções de fotos que importam. Backups regulares, seja offline ou na nuvem, reduzem o dano se arquivos forem criptografados dessa maneira. Atualizar o Chrome e o Android regularmente também ajuda, pois os fabricantes continuam refinando essas permissões.

Indicadores de comprometimento e IoCs

Os indicadores de comprometimento incluem o hash SHA256 07c39f79ab92fb21557b82283472dce1c112f577d796111fb752c3c6d84c86b5 para o aplicativo Python Flask implementando a amostra de ransomware in-browser InfernoGrabber. O nome do malware é InfernoGrabber v9.0. O tipo de isca é uma página da web de upscaler de avatar/foto de IA falsa, usada para enganar vítimas a concederem permissões de acesso ao sistema de arquivos.

Implicações para segurança de navegadores

Este caso mostra como a inteligência artificial pode transformar um risco teórico do navegador em uma técnica de ataque genuína e funcional. A segurança de navegadores deve evoluir para lidar com solicitações de permissão mais granulares. Usuários devem ser educados sobre os riscos de conceder acesso a pastas para sites desconhecidos. Navegadores podem implementar verificações de reputação para sites que solicitam acesso ao sistema de arquivos.

Perguntas frequentes sobre o ransomware

É necessário instalar algo? Não, o ataque roda inteiramente no navegador.

Como evitar isso? Não conceda acesso a pastas para sites desconhecidos.

Posso recuperar arquivos? Depende dos backups, pois não há chave de descriptografia.

Isso afeta iOS? A técnica foi testada no Android, mas pode ser adaptada.

Devo atualizar o Chrome? Sim, atualizações podem melhorar as permissões.

É um vírus? É um ransomware baseado em navegador.

Como detectar? Monitorar solicitações de permissão de arquivo.

É comum? Ainda é raro, mas a barreira de entrada é baixa.

Devo usar outro navegador? Navegadores com APIs restritas podem ser mais seguros.

Isso afeta empresas? Sim, se funcionários usarem dispositivos pessoais.

Como mitigar? Educação do usuário e backups regulares.


Baseado em publicação original de Cyber Security News
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.