Появился первый вирус-вымогатель, который использует ИИ для атак

Новая угроза, классифицирована как Filecoder.PromptLock.A, написана на языке программирования Go. Ее особенность заключается в использовании локальной версии языковой модели gpt-oss:20b через API Ollama, рассказывает 24 Канал со ссылкой на специалистов Eset. Это позволяет вирусу работать на операционных системах Windows, macOS и Linux без создания отдельных версий для каждой платформы.

Смотрите также Агентские браузеры с ИИ: почему они могут подставить вас, в чем опасность и как уберечь себя

Как работает новый вирус на базе ИИ?

PromptLock сканирует файловую систему жертвы, выборочно похищает данные, а затем шифрует их с помощью 128-битного алгоритма Speck. Интересно, что сама языковая модель не встроена в код вируса. Вместо этого он подключается к ней через собственный прокси-сервер, что позволяет обходить сетевые ограничения.

Исследователи Eset считают, что PromptLock может быть экспериментальным образцом, поскольку некоторые элементы кода, указывающие на потенциально разрушительные действия, еще не реализованы. Однако, сам факт появления такого вредоносного ПО свидетельствует о новом этапе в развитии киберугроз, где искусственный интеллект становится инструментом не только для защиты, но и для нападения.

Аналитики проводят параллель с программой Lamehug, которая также использует языковую модель для генерации команд. Однако PromptLock отличается полной автономностью и независимостью от внешних API, что позволяет ему адаптироваться к среде в реальном времени.

Еще одной интересной деталью является наличие в коде жестко заданного биткоин-адреса, связанного с вероятным создателем биткоина Сатоши Накамото. Это может быть как своеобразной "данью уважения", так и отвлекающим маневром.

Что советуют специалисты по безопасности?

Администраторам сетей советуют тщательно отслеживать выполнение Lua-скриптов, особенно связанных с шифрованием, и проверять исходящие соединения на наличие прокси к инфраструктуре Ollama.