Нова загроза, класифікована як Filecoder.PromptLock.A, написана мовою програмування Go. Її особливість полягає у використанні локальної версії мовної моделі gpt-oss:20b через API Ollama, розповідає 24 Канал з посиланням на фахівців Eset. Це дозволяє вірусу працювати на операційних системах Windows, macOS та Linux без створення окремих версій для кожної платформи.
Дивіться також Агентні браузери з ШІ: чому вони можуть підставити вас, в чому небезпека і як вберегти себе
Як працює новий вірус на базі ШІ?
PromptLock сканує файлову систему жертви, вибірково викрадає дані, а потім шифрує їх за допомогою 128-бітного алгоритму Speck. Цікаво, що сама мовна модель не вбудована у код вірусу. Натомість він підключається до неї через власний проксі-сервер, що дозволяє обходити мережеві обмеження.
Дослідники Eset вважають, що PromptLock може бути експериментальним зразком, оскільки деякі елементи коду, що вказують на потенційно руйнівні дії, ще не реалізовані. Проте, сам факт появи такого шкідливого ПЗ свідчить про новий етап у розвитку кіберзагроз, де штучний інтелект стає інструментом не тільки для захисту, але й для нападу.
Аналітики проводять паралель із програмою Lamehug, яка також використовує мовну модель для генерації команд. Однак PromptLock вирізняється повною автономністю та незалежністю від зовнішніх API, що дозволяє йому адаптуватися до середовища в реальному часі.
Ще однією цікавою деталлю є наявність у коді жорстко заданої біткоїн-адреси, пов'язаної з імовірним творцем біткоїна Сатоші Накамото. Це може бути як своєрідною "даниною поваги", так і відволікаючим маневром.
Що радять фахівці з безпеки?
Адміністраторам мереж радять ретельно відстежувати виконання Lua-скриптів, особливо пов'язаних із шифруванням, та перевіряти вихідні з'єднання на наявність проксі до інфраструктури Ollama.