Специалисты компании ESET обнаружили необычного вредоноса, который получил название PromptLock. Исследователи описывают его первого известного вымогателя, использующего ИИ.

По словам экспертов, пока эта малварь выглядит не полностью функциональной и явно находится на стадии разработки. Однако специалисты обнаружили загруженные на VirusTotal варианты вредоноса для Windows и Linux.

«Хотя множественные индикаторы свидетельствуют о том, что этот образец является proof-of-concept или чьей-то незавершенной работой, а не полностью функциональным вредоносом, применяющимся в атаках, мы считаем своей обязанностью информировать киберсообщество о подобных разработках», — заявляют в ESET.

Невзирая на отсутствие фактических заражений, пример PromptLock показывает, что ИИ может существенно облегчать «работу» для киберпреступников.

Исследователи объясняют, что PromptLock использует модель gpt-oss-20b от OpenAI, которая является одной из двух бесплатных open-weight моделей, опубликованных компанией ранее в этом месяце. Она работает локально на зараженном устройстве через Ollama API и «на лету» генерирует вредоносные Lua-скрипты.



«PromptLock использует Lua-скрипты, сгенерированные с помощью жестко закодированных промптов, которые используются для энумерации локальной файловой системы, изучения целевых файлов, извлечения выбранных данных и выполнения шифрования», — говорят специалисты и отмечают, что Lua-скрипты работают на машинах под управлением Windows, Linux и macOS.

После малварь определяет, какие файлы искать, копировать, шифровать или даже уничтожать, основываясь на типе файла и его содержимом. По данным исследователей, отвечающая за уничтожение данных функциональность пока не реализована.

PromptLock использует 128-битный алгоритм SPECK для шифрования файлов, а сам вымогатель написан на Go.