Исследователи компании ESET сообщили об обнаружении нового типа вируса-вымогателя, использующего генеративный искусственный интеллект для проведения атак. Вредоносная программа, получившая название PromptLock, использует локальную языковую модель, которая в режиме реального времени создаёт вредоносные скрипты.
Фактически сам вирус решает, какие файлы искать, копировать или шифровать. Эксперты ESET считают, что такой механизм может существенно изменить мир киберугроз.
PromptLock создаёт скрипты на языке Lua, совместимые с различными платформами, включая Windows, Linux и macOS. Он сканирует локальные файлы, анализирует их содержимое и определяет, следует ли извлекать или шифровать данные. Деструктивная функция уже встроена в код, хотя пока она неактивна.
Вымогатель использует 128-битный алгоритм шифрования SPECK и написан на языке Golang. Ранние варианты уже появились на платформе анализа вредоносных программ VirusTotal. И хотя пока ESET считает PromptLock лишь прототипом, угроза, которую он представляет, вполне реальна.
С помощью ИИ запуск сложных атак стал значительно проще, поскольку нет необходимости в командах квалифицированных разработчиков. Теперь достаточно хорошо настроенной ИИ-модели для создания сложного, самоадаптирующегося вредоносного ПО. При правильной реализации такие угрозы могут значительно усложнить обнаружение и значительно осложнить работу специалистов по кибербезопасности.
Антон Черепанов
старший исследователь вредоносных программ в ESET
PromptLock работает через свободно доступную языковую модель ИИ, подключённую по API. Это значит, что вирус не хранит заранее готовый вредоносный код, а каждый раз получает новые скрипты прямо от модели — на заражённое устройство. И эта гибкость может сильно снизить эффективность антивирусов.
Интересная деталь: в одном из промптов вируса указан биткоин-адрес, который будто бы связан с самим создателем биткоина Сатоши Накамото. Это может быть как шутка, так заглушка, вместо которой в будущем могут быть использованы кошельки самих вымогателей.
