À primeira vista, parece uma página web perfeitamente normal e inofensiva. No entanto, bastam alguns segundos após o carregamento para que a Inteligência Artificial entre em ação e transforme o site numa armadilha personalizada especificamente para quem o está a visitar. Investigadores de segurança demonstraram recentemente um fenómeno preocupante onde páginas aparentemente inocentes utilizam IA para criar e executar código JavaScript malicioso diretamente no navegador da vítima, em tempo real.
Embora este tipo de ataque seja relativamente novo, o desfecho é infelizmente tradicional: as vítimas acabam por perder informações pessoais sensíveis, muitas vezes sem nunca perceberem que navegaram por zonas perigosas da internet. O método destaca-se pela sua capacidade de evasão e adaptação.
O camaleão digital que vive no browser
A grande inovação, e o grande perigo, deste método reside na sua natureza polimórfica. O código malicioso é difícil de rastrear porque é gerado no momento, mediante pedido. Isto significa que o código difere ligeiramente a cada visita, tornando as assinaturas de vírus tradicionais menos eficazes. Como a "transformação" da página acontece dentro do navegador da vítima, o ataque torna-se muito mais convincente.
A página de aterragem é construída com base em dados que o navegador armazena, como o idioma do utilizador, a sua localização ou o tipo de dispositivo que está a usar. Isto permite criar esquemas de phishing altamente direcionados e credíveis. Além disso, permite aos atacantes terem um link malicioso "reutilizável", pois cada vítima verá uma versão da página criada especialmente para si.
O cenário torna-se mais grave quando analisamos a origem do código. Os burlões criam instruções (prompts) cuidadosamente elaboradas que "persuadem" os sistemas de IA a gerar pequenos fragmentos de código JavaScript malicioso. Estes fragmentos provêm de fornecedores de IA de confiança, como a DeepSeek ou o Google Gemini, o que permite que o tráfego passe pelos filtros de segurança de rede sem levantar suspeitas. Segundo a investigação da Unit 42, estes fragmentos são posteriormente montados e executados no ambiente de execução do navegador, tornando a página capaz de roubar credenciais de login.
Enganar a IA para contornar as regras
Para verificar como este esquema funciona na prática, o grupo de investigadores recriou parcialmente o ataque. Descobriram que as palavras utilizadas para gerar o código malicioso são cruciais. Embora os modelos de linguagem (LLMs) se recusem a agir perante instruções obviamente maliciosas, uma mudança na formulação para algo mais vago foi suficiente para contornar as proteções.
Por exemplo, um pedido direto para "código para exfiltrar credenciais" foi bloqueado pelos sistemas de segurança da IA. No entanto, um pedido para uma "função genérica $AJAX POST" foi permitido. Esta função, embora genérica, pode ser usada para o mesmo fim malicioso quando inserida no contexto certo. Além disso, os indicadores de compromisso podem ser escondidos dentro do próprio prompt para manter a página inicial limpa e evitar a deteção por ferramentas de análise estática.
Como nos podemos defender?
Apesar de ser um método furtivo, existem formas de combater este perigo. Os investigadores sugerem que estes ataques impulsionados por IA poderiam ser prevenidos através de uma "análise comportamental em tempo de execução". Na prática, isto significa monitorizar e bloquear comportamentos maliciosos diretamente nos navegadores onde os ataques ocorrem, em vez de apenas tentar filtrar o tráfego de rede.
Outra solução proposta passa pela análise offline com sandboxes baseadas em navegadores, que renderizariam a página final completa antes de o utilizador a visitar, permitindo detetar a transformação maliciosa. O estudo sublinha ainda a necessidade urgente de barreiras de segurança mais robustas nas plataformas de LLM, uma vez que um prompt bem construído continua a ser capaz de ativar comportamentos perigosos. Para o utilizador comum, a prudência mantém-se como a melhor defesa, especialmente ao lidar com serviços de IA não sancionados.
Nenhum comentário
Seja o primeiro!