Словацкая компания ESET рассказала об обнаружении первого в своём роде шифровальщика, использующего искусственный интеллект для динамической генерации вредоносных скриптов на заражённых машинах. Новый образец получил название PromptLock.
По данным исследователей, PromptLock использует открытую языковую модель GPT‑OSS:20b, обращаясь к ней через API, чтобы создавать скрипты на языке Lua. Вредонос не загружает саму модель — её размер составляет несколько гигабайт. Вместо этого вирус-злоумышленник может организовать удалённый доступ к запущенному экземпляру API через туннель или прокси в скомпрометированной сети.
ESET подчёркивает, что, судя по множеству признаков, PromptLock пока представляет собой прототип, а не завершённую вредоносную кампанию. Образцы под Windows и Linux уже загружены на VirusTotal.
Скрипты, создаваемые ИИ, способны сканировать файловую систему, выбирать целевые файлы, извлекать данные и шифровать их. В промтах также содержится команда реализовать алгоритм SPECK с 128-битным ключом — он был разработан Агентством национальной безопасности США и позволяет быстро шифровать файлы.
Lua-скрипты PromptLock кроссплатформенны и работают не только на Linux, но и на Windows и macOS. У вредоноса есть задел под деструктивные функции, но они пока не реализованы. Любопытная деталь — в одном из промтов фигурирует биткоин-адрес Сатоши Накамото, создателя первой криптовалюты, чья личность неизвестна до сих пор.
ESET не раскрывает всех технических подробностей, но подтверждает, что изучение PromptLock продолжается. Специалисты предупреждают: использование ИИ для генерации вредоносного кода может стать новым этапом в развитии киберугроз.
Ещё по теме: