Специалисты словацкой компании ESET, работающей в сфере кибербезопасности, сообщили в социальной сети X о выявлении ранее неизвестного вредоносного ПО. Программа-вымогатель под названием PromptLock использует искусственный интеллект для автоматической генерации вредоносных скриптов непосредственно на заражённых устройствах. Подобные приложения блокируют или шифруют файлы пользователей, после чего требуют денежную компенсацию за разблокировку данных.
Эксперты компании опубликовали образцы вредоносного кода для операционных систем Windows и Linux на аналитической платформе VirusTotal, принадлежащей Google. Этот сервис предназначен для проверки потенциально опасных файлов и интернет-ссылок.
По оценке ESET, данное ПО, созданное на языке программирования Go, представляет собой тестовую или экспериментальную версию, а не завершённый продукт с полным набором функций.
Программа взаимодействует с открытой ИИ-моделью GPT-OSS:20b от OpenAI через интерфейс Ollama API, генерируя скрипты на языке Lua. Интересно, что вымогатель не загружает объёмный файл модели (весом в несколько гигабайт), а использует подключение через прокси или сетевой туннель из скомпрометированной системы к серверу с запущенным API Ollama и ИИ-моделью.
Создаваемые скрипты выполняют несколько операций: сканируют файловую систему, анализируют обнаруженные данные, осуществляют их извлечение и шифрование с применением 128-битного алгоритма SPECK, созданного специалистами Агентства национальной безопасности США.
Любопытная деталь: в запросе к ИИ используется биткойн-кошелёк, ассоциирующийся с псевдонимом Сатоши Накамото — анонимным создателем криптовалюты, чья настоящая личность остаётся неизвестной.
Текст: Наталья Травова
Изображение: Freepik
