Специалисты компании ESET обнаружили необычного вредоноса, который получил название PromptLock. Исследователи описывают его первого известного вымогателя, использующего ИИ. По словам экспертов, пока эта малварь выглядит не полностью функциональной и явно находится на стадии разработки. Однако специалисты обнаружили загруженные на VirusTotal варианты вредоноса для Windows и Linux. «Хотя множественные индикаторы свидетельствуют о том, что этот образец является proof-of-concept или чьей-то незавершенной работой, а не полностью функциональным вредоносом, применяющимся в атаках, мы считаем своей обязанностью информировать киберсообщество о подобных разработках», — заявляют в ESET. Невзирая на отсутствие фактических заражений, пример PromptLock показывает, что ИИ может существенно облегчать «работу» для киберпреступников. Исследователи объясняют, что PromptLock использует модель gpt-oss-20b от OpenAI, которая является одной из двух бесплатных open-weight моделей, опубликованных компанией ранее в этом месяце. Она работает локально на зараженном устройстве через Ollama API и «на лету» генерирует вредоносные Lua-скрипты. «PromptLock использует Lua-скрипты, сгенерированные с помощью жестко закодированных промптов, которые используются для энумерации локальной файловой системы, изучения целевых файлов, извлечения выбранных данных и выполнения шифрования», — говорят специалисты и отмечают, что Lua-скрипты работают на машинах под управлением Windows, Linux и macOS. После малварь определяет, какие файлы искать, копировать, шифровать или даже уничтожать, основываясь на типе файла и его содержимом. По данным исследователей, отвечающая за уничтожение данных функциональность пока не реализована. PromptLock использует 128-битный алгоритм SPECK для шифрования файлов, а сам вымогатель написан на Go.