Дослідники компанії ESET повідомили про появу нового типу вірусу-вимагача, який використовує генеративний штучний інтелект для атак. Шкідлива програма отримала назву PromptLock і застосовує локальну мовну модель, що в реальному часі створює шкідливі скрипти.
Фактично сам вірус вирішує, які файли шукати, копіювати чи шифрувати. На думку експертів ESET, такий підхід може суттєво змінити світ кіберзагроз.
PromptLock генерує скрипти мовою Lua, сумісні з різними платформами — Windows, Linux та macOS. Він сканує локальні файли, аналізує їх вміст і визначає, чи варто витягувати або шифрувати дані. Хоча деструктивна функція вже закладена в код, наразі вона неактивна.
Вірус використовує 128-бітний алгоритм шифрування SPECK та написаний мовою Golang. Перші зразки вже з’явилися на платформі аналізу шкідливих програм VirusTotal. І хоча ESET наразі розглядає PromptLock як прототип, загроза від нього є цілком реальною.
«Завдяки ШІ запуск складних атак став набагато простішим, адже вже не потрібні команди кваліфікованих розробників. Достатньо правильно налаштованої моделі, щоб створювати складне, самоадаптивне шкідливе ПЗ. За умови якісної реалізації такі загрози можуть серйозно ускладнити виявлення й роботу фахівців із кібербезпеки», — пояснює старший дослідник ESET.
PromptLock працює через відкриту мовну модель ШІ, підключену по API. Це означає, що вірус не зберігає готовий шкідливий код, а щоразу завантажує нові скрипти безпосередньо з моделі на заражений пристрій. Така гнучкість може істотно знизити ефективність антивірусів.
Цікава деталь: в одному з промптів вірусу вказано біткоїн-адресу, яка начебто належить самому творцю біткоїна — Сатоші Накамото. Це може бути як жарт, так і просто «заглушка», яку згодом замінять на гаманці самих зловмисників.