Un ransomware generado por IA abusa de la API de Chromium

Check Point Research ha analizado InfernoGrabber v9.0, una familia de ransomware generada con ayuda de un LLM (DeepSeek) que abusa de la File System Access API de los navegadores basados en Chromium para cifrar archivos directamente desde una pestaña del navegador. Por ahora es una prueba de concepto, no está circulando en ataques reales.

El problema

La File System Access API permite a una aplicación web, con consentimiento del usuario, leer y escribir archivos locales. InfernoGrabber abusa de esa capacidad legítima: tras engañar a la víctima para que conceda acceso a un directorio (por ejemplo, con el señuelo de un falso «mejorador de avatares de Discord con IA»), el código:

  • Cifra los archivos del directorio autorizado desde el propio navegador (T1486).
  • Roba tokens de Discord y frases semilla de wallets de criptomonedas.
  • Se distribuye mediante phishing con señuelos temáticos (T1566).
  • Funciona tanto en Windows como en Android.

  • Tácticas: T1486 (cifrado de datos para impacto), T1566 (phishing), T1059.007 (JavaScript)

  • Novedad: el código fue generado en gran parte por un LLM, reduciendo la barrera técnica para crear ransomware
  • Estado: prueba de concepto; no observado en ataques reales todavía

Recomendaciones inmediatas

  • Educa a los usuarios: nunca concedas acceso a carpetas a webs no confiables cuando el navegador lo solicite.
  • Restringe la File System Access API mediante políticas de navegador en entornos corporativos.
  • Refuerza el filtrado de phishing y el bloqueo de señuelos temáticos (Discord, «herramientas IA»).
  • Mantén copias de seguridad offline e inmutables como defensa frente a cualquier ransomware.

¿Estás cubierto en DefensOps?

DefensOps detecta el comportamiento de cifrado masivo y las cadenas de phishing, independientemente de que el malware sea generado por IA:

  • T1486 (Cifrado de datos para impacto): alertas por modificación/cifrado masivo de archivos en el endpoint.
  • T1566 (Phishing): correlación de descargas de señuelos con actividad posterior sospechosa.
  • T1059.007 (JavaScript): detección de ejecución de scripts anómalos en el contexto del navegador.

Disponible en el plan Advanced. El motor de correlación enlaza el señuelo de phishing con el patrón de cifrado y la exfiltración de tokens/wallets.

👉 Consulta los planes de DefensOps y solicita una demo


Fuentes: The Hacker News