tgoop.com/opendatascience/2557
Last Update:
Специалисты из ESET Research обнаружили ИИ-шифровальщик, который получил название "PromptLock". Вредоносное ПО на языке Golang использует локальную модель gpt-oss:20b от OpenAI через Ollama API для динамической генерации вредоносных Lua-скриптов. Локер может обходить традиционные методы обнаружения, поскольку полезная нагрузка создается «на лету», так как не является статичной. Сгенерированные скрипты позволяют сделать эксфильтрацию данных и пошифровать файлы с помощью 128-битного алгоритма SPECK.
Обнаруженные образцы для Windows и Linux считаются Proof-of-Concept, но PromptLock демонстрирует качественный скачок в архитектуре вредоносного ПО. Вместо встраивания всей ИИ-модели злоумышленники используют прокси-соединение к серверу с API, что соответствует тактике Internal Proxy (MITRE ATT&CK T1090.001) и свидетельствует о продуманной стратегии. Использование кроссплатформенных Lua-скриптов указывает на цель злоумышленников обеспечить максимальный охват различных операционных систем, включая Windows, Linux и macOS.
