Найти в Дзене
Nimistar Flow
5 подписчиков

Исследователи из компании ESET выявили, по их мнению, первый случай использования программы-вымогателя, которая использует интегрированную

1 мин
Исследователи из компании ESET выявили, по их мнению, первый случай использования программы-вымогателя, которая использует интегрированную языковую модель ИИ для мгновенной генерации вредоносного кода. Вредоносная программа, получившая название PromptLock, использует модель OpenAI gpt-oss:20b локально через API Ollama, что позволяет создавать кроссплатформенные динамические сценарии, повышающие гибкость и снижающие вероятность обнаружения. Об открытии публично сообщила ESET Research on X после анализа образцов вредоносного ПО, загруженных на VirusTotal. Образцы, предназначенные для Windows и Linux, написаны на Golang и классифицируются под идентификатором Filecoder.PromptLock.A. В ESET подчеркнули, что PromptLock, по-видимому, является экспериментальной версией, которая всё ещё находится в разработке, и может быть экспериментом, не предназначенным для вредоносного использования. Тем не менее его появление знаменует собой значительный технический скачок в развитии программ-вымогателей

Исследователи из компании ESET выявили, по их мнению, первый случай использования программы-вымогателя, которая использует интегрированную языковую модель ИИ для мгновенной генерации вредоносного кода.

Вредоносная программа, получившая название PromptLock, использует модель OpenAI gpt-oss:20b локально через API Ollama, что позволяет создавать кроссплатформенные динамические сценарии, повышающие гибкость и снижающие вероятность обнаружения.

Об открытии публично сообщила ESET Research on X после анализа образцов вредоносного ПО, загруженных на VirusTotal. Образцы, предназначенные для Windows и Linux, написаны на Golang и классифицируются под идентификатором Filecoder.PromptLock.A. В ESET подчеркнули, что PromptLock, по-видимому, является экспериментальной версией, которая всё ещё находится в разработке, и может быть экспериментом, не предназначенным для вредоносного использования. Тем не менее его появление знаменует собой значительный технический скачок в развитии программ-вымогателей.

Конструкция PromptLock позволяет генерировать Lua-скрипты по запросу с использованием жестко запрограммированных подсказок, передаваемых в локальный экземпляр модели gpt-oss:20b. Эти скрипты используются для перечисления файлов в файловой системе, выборочной кражи данных и шифрования. Такая конструкция позволяет PromptLock работать в средах Windows, macOS и Linux без необходимости в отдельных сборках, что является необычным уровнем переносимости для программ-вымогателей.

В отличие от традиционных вредоносных программ, использующих статическую логику, вредоносные программы с интеграцией ИИ могут изменять своё поведение в режиме реального времени в зависимости от контекста, среды или системных данных, что затрудняет реагирование на эту новую угрозу.

ESET рекомендует специалистам по кибербезопасности отслеживать аномальное выполнение скриптов на языке Lua, особенно тех, которые связаны с перечислением систем или процедурами шифрования, а также с общими хэшами файлов. Сетевым администраторам следует проверять исходящие соединения на наличие признаков прокси-туннелирования к инфраструктуре, обслуживающей LLM, особенно через API Ollama.

Ох .. скоро придется интернет использовать в ограниченных средах изолированных от сетевой инфраструктуры

Nimistar Flow@dzen

Nimistar Flow@Telegram