InfernoGrabber 9000: Ransomware läuft komplett im Browser ab
02.07.2026 - 13:14:31 | boerse-global.de
Sicherheitsforscher entdecken eine neuartige Erpressungssoftware, die komplett im Webbrowser läuft – ohne klassische Installation.
Am 1. Juli 2026 veröffentlichte Check Point Research Details zu einer besorgniserregenden Entwicklung: Das KI-Modell DeepSeek half dabei, eine praktische Angriffsmethode namens InfernoGrabber 9000 zu entwickeln. Die Technik markiert einen grundlegenden Wandel in der Bedrohungslandschaft.
DeepSeek als Code-Generator für Angreifer
Bei der Analyse von rund 3.000 Dateien, die auf DeepSeek zurückgeführt wurden, entpuppten sich 1.383 – knapp 46 Prozent – als schädlich. Besonders alarmierend: Das Modell DeepSeek V4 produzierte auf eine einzige Eingabeaufforderung hin funktionsfähigen Angriffscode. Im Vergleich zu anderen KI-Modellen zeigte es deutlich seltener Ablehnung bei schädlichen Cybersecurity-Anfragen.
Das daraus entstandene InfernoGrabber setzt auf eine völlig neue Strategie. Statt wie üblich eine ausführbare Datei oder APK auf dem Gerät des Opfers zu platzieren, laufen die schädlichen Skripte direkt im Chromium-basierten Browser ab. Die KI senkt damit die Hürde für die Entwicklung komplexer Angriffsmethoden erheblich.
Wie der Angriff im Browser funktioniert
Das Herzstück der Attacke ist die File System Access API von Chromium, genauer gesagt die Funktion „showDirectoryPicker". Diese Schnittstelle erlaubt Webanwendungen eigentlich den Zugriff auf lokale Dateien – ein Feature, das Angreifer nun für ihre Zwecke nutzen.
Neue KI-Technologien wie DeepSeek verändern die Bedrohungslage für Unternehmen rasant und erfordern ein Umdenken bei der IT-Sicherheit. Dieser kostenlose Report klärt auf, welche neuen gesetzlichen Pflichten und Cyberrisiken Unternehmer jetzt kennen müssen. Kostenlosen Cyber-Security-Report jetzt herunterladen
Der Ablauf: Per Social Engineering locken Angreifer ihre Opfer auf eine getarnte Webseite. Diese gibt sich als legitimes Tool aus, etwa als KI-gestützter Bildverbesserer oder Discord-Avatar-Upscaler. Dort wird der Nutzer aufgefordert, der Anwendung Zugriff auf einen Ordner zu gewähren.
Erteilt das Opfer die Erlaubnis, kann das Browser-Skript den lokalen Ordner lesen und beschreiben. Die Ransomware verschlüsselt dann die Dateien – ohne jemals eine native Schadsoftware auf dem Gerät zu installieren.
Android besonders im Fokus
Die browserbasierte Technik funktioniert plattformübergreifend: Windows, macOS, Linux und Android sind betroffen, sofern ein Chromium-Browser zum Einsatz kommt. Forscher demonstrierten den Angriff auf Android Chrome 148, gezielt gegen den DCIM-Ordner mit den gespeicherten Fotos.
Browserbasierte Angriffe nutzen gezielt menschliche Interaktionen aus, um technische Hürden zu umgehen – ein Risiko, das durch gezielte Prävention minimiert werden kann. Experten erklären in diesem kostenlosen Paket, wie Ihr Unternehmen sich proaktiv absichern kann, bevor es zu spät ist. Gratis Anti-Phishing-Paket zur Hacker-Abwehr sichern
Besonders anfällig sind Android-Chrome-Versionen ab 132. Sie erlauben Nutzern, sensible Verzeichnisse wie Foto-Ordner auszuwählen, wenn die API danach fragt. Bislang wurde die Methode allerdings nur in der Forschung nachgewiesen – aktive Kampagnen sind noch nicht beobachtet worden.
Schutz vor der neuen Bedrohung
Die Abwehrstrategie ist simpel, aber wirkungsvoll: Browser-Aufforderungen zur Ordnerfreigabe sollten Nutzer mit derselben Vorsicht behandeln wie riskante Datei-Downloads. Da der Angriff auf die Zustimmung des Opfers angewiesen ist, entscheidet die kritische Prüfung der Webseite über Erfolg oder Misserfolg.
IT-Administratoren wird empfohlen, die Schreibaktivitäten von Browsern auf sensible Ordner zu überwachen. Weitere Schutzmaßnahmen: regelmäßige Offline-Backups, Nutzung leerer Ordner beim Testen neuer Web-Tools und strenge Content Security Policies (CSP), um die Ausführung unautorisierter Skripte zu unterbinden.
