Исследователи из компании ESET, занимающейся кибербезопасностью, утверждают, что обнаружили первый в мире образец вируса-вымогателя на базе искусственного интеллекта.
Вредоносное ПО под названием PromptLock по сути функционирует как жестко запрограммированная атака с внедрением подсказок в большую языковую модель, заставляя модель помогать в проведении атаки с целью вымогательства.
Вредоносное ПО, написанное на языке программирования Golang, отправляет свои запросы через Ollama — API с открытым исходным кодом для взаимодействия с большими языковыми моделями и локальную версию модели открытых весов (gpt-oss:20b) от OpenAI для выполнения задач.
В число этих задач входит проверка локальных файловых систем, извлечение файлов и шифрование данных для устройств Windows, Mac и Linux с использованием 128-битного шифрования SPECK.
По словам старшего исследователя вредоносных программ Антона Черепанова, код был обнаружен компанией ESET 25 августа на VirusTotal, онлайн-репозитории для анализа вредоносных программ. Кроме информации о том, что он был загружен где-то в США, никаких дополнительных сведений о его происхождении у него не было.
«Примечательно, что злоумышленникам не нужно развертывать всю модель gpt-oss-20b в скомпрометированной сети, — сказал он. — Вместо этого они могут просто создать туннель или прокси-сервер из затронутой сети к серверу, на котором работает Ollama с этой моделью».
ESET считает, что код, вероятно, является прототипом, отмечая , что функционал функции, уничтожающей данные, по-видимому, не доработан. В частности, Черепанов сообщил CyberScoop, что в телеметрии ESET пока не обнаружено свидетельств использования вредоносного ПО злоумышленниками.
«Хотя многочисленные индикаторы указывают на то, что образец представляет собой прототип или разработку, а не полноценное вредоносное ПО, развернутое в реальных условиях, мы считаем своим долгом информировать сообщество кибербезопасности о таких разработках», — заявила компания X.
На снимках экрана, предоставленных ESET, код программы-вымогателя внедряет инструкции в LLM, сообщая ему о необходимости генерировать вредоносные скрипты Lua, проверять содержимое файлов на наличие в них персонально идентифицируемой информации и, используя «режим анализа», генерировать записку с требованием выкупа на основе того, что, по мнению программы, мог написать злоумышленник, использующий программу-вымогатель.
В нем также приведен пример биткоин-адреса (судя по всему, это известный адрес анонимного создателя криптовалюты Сатоши Накамото), который можно использовать при требовании оплаты.
Это новый пример использования уязвимостей в процессе атаки, заставляющий программу искусственного интеллекта выполнять основные функции вируса-вымогателя: блокировать файлы, красть данные, угрожать жертвам и вымогать у них деньги, а также требовать оплату.
Исследователи в области безопасности ИИ все чаще подчеркивают потенциальный риск для предприятий и организаций, которые внедряют «агентов» ИИ в свои сети, отмечая, что этим программам необходим высокий уровень административного доступа для выполнения их задач, они уязвимы для атак с мгновенным внедрением и могут быть обращены против своих владельцев.
По словам Черепанова, поскольку вредоносная программа использует скрипты, созданные искусственным интеллектом, одно из отличий PromptLock от других программ-вымогателей «заключается в том, что индикаторы компрометации (IoC) могут различаться от одного запуска к другому».
«Теоретически, при правильной реализации, это может существенно затруднить обнаружение и осложнить работу защитников», — отметил он.
Вредоносное ПО под названием PromptLock по сути функционирует как жестко запрограммированная атака с внедрением подсказок в большую языковую модель, заставляя модель помогать в проведении атаки с целью вымогательства.
Вредоносное ПО, написанное на языке программирования Golang, отправляет свои запросы через Ollama — API с открытым исходным кодом для взаимодействия с большими языковыми моделями и локальную версию модели открытых весов (gpt-oss:20b) от OpenAI для выполнения задач.
В число этих задач входит проверка локальных файловых систем, извлечение файлов и шифрование данных для устройств Windows, Mac и Linux с использованием 128-битного шифрования SPECK.
По словам старшего исследователя вредоносных программ Антона Черепанова, код был обнаружен компанией ESET 25 августа на VirusTotal, онлайн-репозитории для анализа вредоносных программ. Кроме информации о том, что он был загружен где-то в США, никаких дополнительных сведений о его происхождении у него не было.
«Примечательно, что злоумышленникам не нужно развертывать всю модель gpt-oss-20b в скомпрометированной сети, — сказал он. — Вместо этого они могут просто создать туннель или прокси-сервер из затронутой сети к серверу, на котором работает Ollama с этой моделью».
ESET считает, что код, вероятно, является прототипом, отмечая , что функционал функции, уничтожающей данные, по-видимому, не доработан. В частности, Черепанов сообщил CyberScoop, что в телеметрии ESET пока не обнаружено свидетельств использования вредоносного ПО злоумышленниками.
«Хотя многочисленные индикаторы указывают на то, что образец представляет собой прототип или разработку, а не полноценное вредоносное ПО, развернутое в реальных условиях, мы считаем своим долгом информировать сообщество кибербезопасности о таких разработках», — заявила компания X.
На снимках экрана, предоставленных ESET, код программы-вымогателя внедряет инструкции в LLM, сообщая ему о необходимости генерировать вредоносные скрипты Lua, проверять содержимое файлов на наличие в них персонально идентифицируемой информации и, используя «режим анализа», генерировать записку с требованием выкупа на основе того, что, по мнению программы, мог написать злоумышленник, использующий программу-вымогатель.
В нем также приведен пример биткоин-адреса (судя по всему, это известный адрес анонимного создателя криптовалюты Сатоши Накамото), который можно использовать при требовании оплаты.
Это новый пример использования уязвимостей в процессе атаки, заставляющий программу искусственного интеллекта выполнять основные функции вируса-вымогателя: блокировать файлы, красть данные, угрожать жертвам и вымогать у них деньги, а также требовать оплату.
Исследователи в области безопасности ИИ все чаще подчеркивают потенциальный риск для предприятий и организаций, которые внедряют «агентов» ИИ в свои сети, отмечая, что этим программам необходим высокий уровень административного доступа для выполнения их задач, они уязвимы для атак с мгновенным внедрением и могут быть обращены против своих владельцев.
По словам Черепанова, поскольку вредоносная программа использует скрипты, созданные искусственным интеллектом, одно из отличий PromptLock от других программ-вымогателей «заключается в том, что индикаторы компрометации (IoC) могут различаться от одного запуска к другому».
«Теоретически, при правильной реализации, это может существенно затруднить обнаружение и осложнить работу защитников», — отметил он.
