Forwarded from Сумма технологий
Обнаружен первый ИИ-вирус PromptLock.
Использование искусственного интеллекта в кибербезопасности началось с применения моделей для обнаружения угроз и анализа данных. Однако с развитием открытых моделей, таких как gpt-oss:20b от OpenAI, выпущенной в августе 2025 года, появилась возможность их применения в вредоносных целях.
Ранее фиксировались случаи, когда злоумышленники использовали ИИ для генерации команд, как в программе Lamehug, где применялась модель Qwen 2.5-Coder-32B-Instruct от HuggingFace. Эти инциденты указывали на переход от статического вредоносного кода к динамическому, адаптирующемуся в реальном времени.
Исследователи компании ESET 25 августа 2025 года выявили на платформе VirusTotal образцы вредоносной программы, загруженные из США, и классифицировали их как Filecoder.PromptLock.A. Программа, написанная на языке Go, представляет собой первую известную вымогательскую программу с интегрированной языковой моделью ИИ. Она запускает локальную реализацию модели gpt-oss:20b через API Ollama, что обеспечивает работу на платформах Windows, macOS и Linux без создания отдельных версий. Это повышает гибкость вируса и усложняет его обнаружение.
PromptLock сканирует файловую систему, выборочно эксфильтрует данные и шифрует их по 128-битному алгоритму Speck. В коде отсутствует встроенная языковая модель; вместо этого программа подключается к ней через собственный сервер с использованием прокси для обхода сетевых ограничений. Вредоносный код содержит элементы для потенциально разрушительных действий, но они не полностью реализованы. Кроме того, в промптах жестко задан биткоин-адрес, ассоциированный с создателем биткоина Сатоси Накамото, что может служить отвлекающим маневром.
В отличие от Lamehug, зависящей от внешних API, PromptLock обеспечивает полную автономию, генерируя Lua-скрипты на основе фиксированных промптов для адаптации к окружению в реальном времени. Это отличает ее от традиционных вымогателей, где поведение предсказуемо, и подчеркивает объективную проблему: вариабельность скриптов затрудняет создание статических сигнатур для антивирусных систем.
Для защиты ESET рекомендует администраторам сетей мониторить выполнение Lua-скриптов, связанных с шифрованием, и проверять исходящие соединения на наличие прокси с инфраструктурой Ollama. Поскольку программа не обнаружена в реальных атаках, специалисты считают ее экспериментальным образцом или доказательством концепции.
Обнаружение PromptLock свидетельствует о новом этапе эволюции киберугроз, где ИИ становится инструментом атаки, упрощая создание сложного вредоносного ПО без необходимости в командах квалифицированных разработчиков. В будущем ожидается рост подобных угроз: они станут более адаптивными, быстро распространяемыми и трудными для обнаружения, что потребует от систем безопасности интеграции ИИ для динамического анализа. Без timely обновлений защитных мер риски для бизнеса и инфраструктуры возрастут.
#безопасность #ai #ии #вирусы
Использование искусственного интеллекта в кибербезопасности началось с применения моделей для обнаружения угроз и анализа данных. Однако с развитием открытых моделей, таких как gpt-oss:20b от OpenAI, выпущенной в августе 2025 года, появилась возможность их применения в вредоносных целях.
Ранее фиксировались случаи, когда злоумышленники использовали ИИ для генерации команд, как в программе Lamehug, где применялась модель Qwen 2.5-Coder-32B-Instruct от HuggingFace. Эти инциденты указывали на переход от статического вредоносного кода к динамическому, адаптирующемуся в реальном времени.
Исследователи компании ESET 25 августа 2025 года выявили на платформе VirusTotal образцы вредоносной программы, загруженные из США, и классифицировали их как Filecoder.PromptLock.A. Программа, написанная на языке Go, представляет собой первую известную вымогательскую программу с интегрированной языковой моделью ИИ. Она запускает локальную реализацию модели gpt-oss:20b через API Ollama, что обеспечивает работу на платформах Windows, macOS и Linux без создания отдельных версий. Это повышает гибкость вируса и усложняет его обнаружение.
PromptLock сканирует файловую систему, выборочно эксфильтрует данные и шифрует их по 128-битному алгоритму Speck. В коде отсутствует встроенная языковая модель; вместо этого программа подключается к ней через собственный сервер с использованием прокси для обхода сетевых ограничений. Вредоносный код содержит элементы для потенциально разрушительных действий, но они не полностью реализованы. Кроме того, в промптах жестко задан биткоин-адрес, ассоциированный с создателем биткоина Сатоси Накамото, что может служить отвлекающим маневром.
В отличие от Lamehug, зависящей от внешних API, PromptLock обеспечивает полную автономию, генерируя Lua-скрипты на основе фиксированных промптов для адаптации к окружению в реальном времени. Это отличает ее от традиционных вымогателей, где поведение предсказуемо, и подчеркивает объективную проблему: вариабельность скриптов затрудняет создание статических сигнатур для антивирусных систем.
Для защиты ESET рекомендует администраторам сетей мониторить выполнение Lua-скриптов, связанных с шифрованием, и проверять исходящие соединения на наличие прокси с инфраструктурой Ollama. Поскольку программа не обнаружена в реальных атаках, специалисты считают ее экспериментальным образцом или доказательством концепции.
Обнаружение PromptLock свидетельствует о новом этапе эволюции киберугроз, где ИИ становится инструментом атаки, упрощая создание сложного вредоносного ПО без необходимости в командах квалифицированных разработчиков. В будущем ожидается рост подобных угроз: они станут более адаптивными, быстро распространяемыми и трудными для обнаружения, что потребует от систем безопасности интеграции ИИ для динамического анализа. Без timely обновлений защитных мер риски для бизнеса и инфраструктуры возрастут.
#безопасность #ai #ии #вирусы
❤1