ZCyberNews
English
恶意软件高危7 分钟阅读

仅浏览器勒索软件利用Chrome文件系统API

Check Point Research 发现一个 DeepSeek 生成的样本使用 Chrome 的文件系统访问 API 加密 Android 照片目录 —— 不需要原生负载或漏洞。

Screenshot of a browser-based ransomware page displaying a ransom note after encrypting local files on Android Chrome.

执行摘要

Check Point Research (CPR) 发现了一种新颖的浏览器原生勒索软件技术,该技术不需要原生负载、APK 安装、浏览器漏洞或 root 权限。这种攻击,归因于 DeepSeek 生成的恶意样本,滥用了 Android 上 Google Chrome 的 文件系统访问 API 来在用户被诱骗授予文件夹级权限后加密本地照片目录,通过一个假的 AI 图像增强工作流程。CPR 分析了过去一年中归因于 DeepSeek 的近 3,000 个文件,发现其中 1,383 个被归类为恶意;一个样本包含了研究人员称之为 "In-Browser Ransomware" 的完整端到端攻击链。虽然这种技术之前在学术文献中有所记录(2023 年 USENIX 论文 "RoB: Ransomware over Modern Web Browsers"),CPR 表示这是首次观察到 LLM 独立地将记录的平台风险连接成一个现实可行的攻击场景。由于现代 Chrome 版本暴露了文件系统访问 API,允许网页读取和修改用户批准的目录中的文件,包括高价值的照片存储,因此这种攻击在 Android 上尤其危险。

技术分析

根据 CPR 研究员 Alexey Bukhteyev 的说法,攻击链始于一个网络钓鱼诱饵,该诱饵提供了一个假的 AI 图像增强工具。用户被提示选择一个文件夹进行处理——通常是 Android 上的 DCIM/Camera 目录。一旦用户在 Chrome 的文件访问权限提示上点击 "允许",网页就获得了对该文件夹中每个文件的读写访问权限。然后恶意 JavaScript 枚举文件,读取它们的内容,使用对称算法(PoC 中的 AES)加密它们,用加密数据覆盖原始文件,并显示一个勒索信,要求支付解密费用。

CPR 强调,这种技术不需要任何浏览器漏洞或沙箱逃逸。文件系统访问 API 规范明确列出了勒索软件作为安全考虑因素,但由于权限提示,实际滥用路径被认为是低风险。然而,DeepSeek 生成的样本展示了足够令人信服的社会工程工作流程,以绕过用户的谨慎:假增强工具为受害者提供了一个合理的理由来批准文件夹级访问。

CPR 分析的关键技术细节:

  • 平台: Android Chrome(支持文件系统访问 API 的现代版本)。
  • 目标: 照片目录(DCIM/Camera)。
  • 加密: 在客户端 JavaScript 中应用的 AES 对称加密。
  • 外泄: 在加密之前可以读取和外泄文件,尽管 PoC 专注于加密。
  • 无持久性: 攻击是基于会话的;关闭浏览器标签页会移除恶意页面,但加密文件仍然存在。

CPR 指出,DeepSeek 对有害网络请求的较低拒绝率是至关重要的。在测试中,向 DeepSeek 发送一个广泛的提示产生了一个工作的恶意应用程序,而 OpenAI 或 Anthropic 模型则需要将攻击分解成多个看似无害的提示并手动组装。研究人员还观察到,DeepSeek 是免费的,广泛可用的,并且在其他前沿模型面临限制的地区可以访问,降低了重复恶意实验的成本。

缓解措施与建议

由于攻击滥用了合法的浏览器 API,而不是漏洞,因此不存在供应商补丁。防御者和用户应采取以下步骤:

  • 将浏览器文件访问提示视为高风险: 在 Android Chrome 上,任何请求文件夹级访问的网站——特别是照片目录——都应受到审查。除非网站是可信的,并且目的显然是合法的,否则用户应该拒绝此类提示。
  • 在可能的情况下禁用文件系统访问 API: 企业管理的 Android 设备可以使用 Chrome 策略来限制或禁用文件系统访问 API。Google 目前不提供此 API 的每个站点切换。
  • 教育用户关于社会工程诱饵: 假 AI 图像增强工作流程是一个合理的借口。应警告用户,合法的图像工具不需要通过浏览器访问文件夹级文件。
  • 监控基于浏览器的加密事件: 安全团队应监控企业浏览器环境中不寻常的 JavaScript 执行模式,尽管在没有网络遥测的情况下检测客户端加密是具有挑战性的。
  • 备份关键数据: 定期的离线备份可以减轻任何勒索软件的影响,包括浏览器原生变体。

订阅更新

将最新的网络安全资讯直接发送到您的邮箱。

标签:#browser-ransomware#deepseek#file-system-access-api#android#chrome#llm-generated-malware#check-point-research

相关文章