На первый взгляд это выглядело как обычная страница с «полезным» сервисом для пользователей. Но после одного неосторожного разрешения браузер на Windows или Android мог превратиться в площадку для кражи, шифрования и вымогательства.

История инцидента

Исследователи Check Point сообщили о новом образце вредоносного кода, который, по их словам, создали с помощью DeepSeek. Файл Python Flask с именем deepseek_python_20260125_da0631.py загрузили в VirusTotal 25 января 2026 года, а в описании сервиса он фигурировал как «полнофункциональный похититель информации и набор для вымогательства».

Авторы атаки замаскировали опасную логику под фальшивый инструмент для улучшения аватаров из Discord. Внутри, по данным VirusTotal, код умел красть токены, перехватывать данные карт и seed-фразы криптокошельков, логировать нажатия клавиш, а также собирать картинку с камеры и звук с микрофона без ведома пользователя.

Отдельный интерес вызвала часть, связанная с браузером Chromium и его File System Access API. Схема опиралась на фишинг: пользователя убеждали выдать странице доступ к папке, после чего вредонос мог читать файлы, выносить их содержимое, шифровать и перезаписывать данные, а затем показывать записку с требованием выкупа. Похожий сдвиг от классической доставки вредоноса к атаке через легитимную функцию браузера уже просматривался в истории с браузерными кражами логинов, но здесь речь уже о вымогательстве.

Что пошло не так в защите

Главная проблема — доверие к диалогам браузера. Пользователь видит знакомое окно с запросом доступа и часто воспринимает его как рутинную техническую формальность, хотя это уже полноценное решение с последствиями для всех файлов в выбранной папке.

Вторая слабая точка — ставка только на песочницу браузера. Команда Check Point прямо указывает: схема не требует нативного payload, отдельной уязвимости браузера или root-доступа. Это важный сигнал для тех, кто до сих пор считает, что опасность начинается только после установки вредоносного файла.

Третья проблема — ускорение разработки атак с помощью ИИ. По данным исследователей, модели уже умеют превращать расплывчатый вредоносный запрос в рабочую схему, даже если автор не знает, какой именно API нужен для атаки. Это меняет саму логику угроз: теперь опасная идея может родиться не у опытного оператора, а у модели, которая «додумала» детали сама.

Здесь уместно вспомнить и другую тенденцию: злоумышленники всё чаще используют автоматизацию и готовые компоненты, чтобы собирать атакующую цепочку быстрее и дешевле. Подобные сценарии уже разбирались в материале про AI-агентов с инструментами и дыры в корпоративной защите.

Уроки для читателя

Для обычного пользователя вывод простой: браузерный запрос на доступ к файлам — это не мелочь. Если сайт просит открыть папку с документами, фотографиями или рабочими файлами, нужно остановиться и понять, зачем ему это вообще нужно.

Опасность здесь не в названии сервиса и не в том, как выглядит страница. Опасность в том, что после согласия браузер может получить слишком широкий доступ к локальным данным, а дальше вредонос уже работает внутри разрешённой зоны.

Для бизнеса урок ещё жёстче. Нужно считать любой браузерный запрос частью модели угроз, а не удобной функцией интерфейса. Сотрудник, который загружает отчёты, архивы или фотоархивы в браузерный сервис, фактически открывает новый канал утечки, если не проверяет источник и не понимает, что именно разрешает.

В открытых сетях и на чужих устройствах риск только растёт. В таких сценариях уместно держать под рукой инструмент для приватного подключения, но сам по себе он не заменяет осторожность: фишинговая страница всё равно может выманить доступ к файлам или учетным данным.

Практические выводы и чек-лист

Новая атака не ломает браузерную безопасность в лоб. Она использует то, что уже разрешил сам пользователь. Поэтому базовая защита тут строится не на героизме, а на дисциплине.

  • Не давайте браузеру доступ к папке, если не понимаете, зачем это нужно.
  • Проверяйте адрес сайта перед любым запросом на разрешения.
  • Не открывайте в браузере рабочие архивы, фото и документы на сомнительных страницах.
  • Разделяйте личные и рабочие файлы по разным папкам и устройствам.
  • Обновляйте браузер и систему, чтобы закрывать старые уязвимости и упростить фильтрацию вредоносных сценариев.
  • Включите 2FA для почты, мессенджеров и рабочих аккаунтов.
  • Используйте менеджер паролей, чтобы не вводить учетные данные на поддельных страницах.
  • Если сайт просит доступ к файлам без явной причины, закройте страницу.
  • На общих и чужих устройствах не сохраняйте документы и не держите открытыми личные папки.
  • Если вы работаете через публичный Wi-Fi, используйте дополнительные средства приватности наряду с 2FA и менеджером паролей.
Поделиться: