На первый взгляд это выглядело как обычная страница с «полезным» сервисом для пользователей. Но после одного неосторожного разрешения браузер на Windows или Android мог превратиться в площадку для кражи, шифрования и вымогательства.
История инцидента
Исследователи Check Point сообщили о новом образце вредоносного кода, который, по их словам, создали с помощью DeepSeek. Файл Python Flask с именем deepseek_python_20260125_da0631.py загрузили в VirusTotal 25 января 2026 года, а в описании сервиса он фигурировал как «полнофункциональный похититель информации и набор для вымогательства».
Авторы атаки замаскировали опасную логику под фальшивый инструмент для улучшения аватаров из Discord. Внутри, по данным VirusTotal, код умел красть токены, перехватывать данные карт и seed-фразы криптокошельков, логировать нажатия клавиш, а также собирать картинку с камеры и звук с микрофона без ведома пользователя.
Отдельный интерес вызвала часть, связанная с браузером Chromium и его File System Access API. Схема опиралась на фишинг: пользователя убеждали выдать странице доступ к папке, после чего вредонос мог читать файлы, выносить их содержимое, шифровать и перезаписывать данные, а затем показывать записку с требованием выкупа. Похожий сдвиг от классической доставки вредоноса к атаке через легитимную функцию браузера уже просматривался в истории с браузерными кражами логинов, но здесь речь уже о вымогательстве.
Что пошло не так в защите
Главная проблема — доверие к диалогам браузера. Пользователь видит знакомое окно с запросом доступа и часто воспринимает его как рутинную техническую формальность, хотя это уже полноценное решение с последствиями для всех файлов в выбранной папке.
Вторая слабая точка — ставка только на песочницу браузера. Команда Check Point прямо указывает: схема не требует нативного payload, отдельной уязвимости браузера или root-доступа. Это важный сигнал для тех, кто до сих пор считает, что опасность начинается только после установки вредоносного файла.
Третья проблема — ускорение разработки атак с помощью ИИ. По данным исследователей, модели уже умеют превращать расплывчатый вредоносный запрос в рабочую схему, даже если автор не знает, какой именно API нужен для атаки. Это меняет саму логику угроз: теперь опасная идея может родиться не у опытного оператора, а у модели, которая «додумала» детали сама.
Здесь уместно вспомнить и другую тенденцию: злоумышленники всё чаще используют автоматизацию и готовые компоненты, чтобы собирать атакующую цепочку быстрее и дешевле. Подобные сценарии уже разбирались в материале про AI-агентов с инструментами и дыры в корпоративной защите.
Уроки для читателя
Для обычного пользователя вывод простой: браузерный запрос на доступ к файлам — это не мелочь. Если сайт просит открыть папку с документами, фотографиями или рабочими файлами, нужно остановиться и понять, зачем ему это вообще нужно.
Опасность здесь не в названии сервиса и не в том, как выглядит страница. Опасность в том, что после согласия браузер может получить слишком широкий доступ к локальным данным, а дальше вредонос уже работает внутри разрешённой зоны.
Для бизнеса урок ещё жёстче. Нужно считать любой браузерный запрос частью модели угроз, а не удобной функцией интерфейса. Сотрудник, который загружает отчёты, архивы или фотоархивы в браузерный сервис, фактически открывает новый канал утечки, если не проверяет источник и не понимает, что именно разрешает.
В открытых сетях и на чужих устройствах риск только растёт. В таких сценариях уместно держать под рукой инструмент для приватного подключения, но сам по себе он не заменяет осторожность: фишинговая страница всё равно может выманить доступ к файлам или учетным данным.
Практические выводы и чек-лист
Новая атака не ломает браузерную безопасность в лоб. Она использует то, что уже разрешил сам пользователь. Поэтому базовая защита тут строится не на героизме, а на дисциплине.
- Не давайте браузеру доступ к папке, если не понимаете, зачем это нужно.
- Проверяйте адрес сайта перед любым запросом на разрешения.
- Не открывайте в браузере рабочие архивы, фото и документы на сомнительных страницах.
- Разделяйте личные и рабочие файлы по разным папкам и устройствам.
- Обновляйте браузер и систему, чтобы закрывать старые уязвимости и упростить фильтрацию вредоносных сценариев.
- Включите 2FA для почты, мессенджеров и рабочих аккаунтов.
- Используйте менеджер паролей, чтобы не вводить учетные данные на поддельных страницах.
- Если сайт просит доступ к файлам без явной причины, закройте страницу.
- На общих и чужих устройствах не сохраняйте документы и не держите открытыми личные папки.
- Если вы работаете через публичный Wi-Fi, используйте дополнительные средства приватности наряду с 2FA и менеджером паролей.
Комментарии (0)
Будьте уважительны. Спам и ссылки на сторонние сервисы скрываются модерацией.
Пока комментариев нет. Вы можете быть первым.