Исследователи кибербезопасности компании ESET обнаружили первый известный образец вредоносного ПО для вымогателей (ransomware), использующий искусственный интеллект для генерации вредоносных скриптов. Программа под названием PromptLock, написанная на языке Golang, представляет собой концептуальную разработку (proof-of-concept), демонстрирующую потенциальную опасность использования AI-инструментов в кибератаках.
Описание
В отличие от традиционных вредоносных программ, PromptLock использует модель искусственного интеллекта gpt-oss-20b через локальный API Ollama для динамического создания вредоносных Lua-скриптов непосредственно во время выполнения. Эти скрипты генерируются на основе жестко заданных prompts, встроенных в код вредоносной программы, что позволяет адаптировать действия к конкретной среде заражения.
Кросс-платформенная природа решения, реализованного на языке Go, позволяет атаковать как Windows, так и Linux системы. Функциональность включает перечисление файловой системы, анализ целевых файлов, эксфильтрацию данных на управляющий сервер и шифрование файлов для последующего требования выкупа. Примечательно, что функция уничтожения данных, хотя и заявлена в коде, ещё не реализована полностью, что указывает на продолжающуюся разработку.
Использование искусственного интеллекта представляет собой значительный отход от традиционных подходов, где вредоносные нагрузки обычно статичны и заранее запрограммированы. Динамическая генерация кода позволяет потенциально адаптировать атаку под конкретную систему, автоматизируя разведку, кражу данных и шифрование с беспрецедентной скоростью и масштабом.
Доступность AI-инструментов, подобных использованным в PromptLock, снижает технический барьер для менее квалифицированных злоумышленников, позволяя им развертывать сложное вредоносное ПО с минимальными знаниями. Эта демократизация вредоносных возможностей соответствует тенденциям, наблюдаемым в фишинговых атаках и атаках с использованием deepfake, где искусственный интеллект уже используется для создания убедительных приманок.
Хотя PromptLock ещё не наблюдался в активных атаках, его появление подчеркивает необходимость упреждающей защиты от угроз, усиленных искусственным интеллектом. Организациям необходимо уделять приоритетное внимание современным механизмам обнаружения и оставаться в курсе новых угроз для снижения рисков, создаваемых таким инновационным вредоносным ПО. Аналитики считают, что PromptLock представляет собой пример AI-powered угроз, которые могут появиться в ближайшем будущем, что требует повышенной готовности со стороны специалистов по кибербезопасности.
Эксперты отмечают, что по мере развития технологий искусственного интеллекта можно ожидать увеличения количества и сложности атак с использованием подобных методов, что потребует соответствующего развития защитных механизмов и систем мониторинга безопасности.
Индикаторы компрометации
MD5
- ac377e26c24f50b4d9aaa933d788c18c
- f7cf07f2bf07cfc054ac909d8ae6223d
SHA1
- 161cdcdb46fb8a348aec609a86ff5823752065d2
- 24bf7b72f54aa5b93c6681b4f69e579a47d7c102
SHA256
- 1458b6dc98a878f237bfb3c3f354ea6e12d76e340cefe55d6a1c9c7eb64c9aee
- 2755e1ec1e4c3c0cd94ebe43bd66391f05282b6020b2177ee3b939fdd33216f6
