A Eset descobriu o que pode ser o primeiro ransomware do mundo com um modelo de linguagem de IA incorporado. Chamado PromptLock, o programa é capaz de criar scripts Lua dinamicamente usando IA, relata o CyberInsider.
Fonte da imagem: cyberinsider.com
De acordo com os pesquisadores, o PromptLock utiliza uma implementação local do modelo gpt-oss:20b por meio da API Ollama, o que permite sua execução em Windows, macOS e Linux sem a necessidade de criar versões separadas. Esses recursos aumentam a flexibilidade do vírus e o tornam mais difícil de detectar.
O código do PromptLock é escrito em Go e classificado como Filecoder.PromptLock.A. O malware verifica o sistema de arquivos e, em seguida, extrai dados seletivamente e os criptografa usando o algoritmo SPECK de 129 bits. O código do PromptLock em si não possui um modelo de linguagem; ele se conecta a ele por meio de seu próprio servidor por meio de um proxy, o que lhe permite contornar as restrições de rede.
O código do programa contém elementos que indicam ações potencialmente destrutivas, mas elas ainda não foram totalmente implementadas. Por esse motivo, a Eset acredita que o programa possa ser uma amostra experimental, não destinada à distribuição em massa. No entanto, isso não diminui a gravidade da descoberta – o surgimento de tais soluções indica uma nova etapa no desenvolvimento de ameaças cibernéticas, em que a IA está se tornando uma ferramenta não apenas para proteção, mas também para ataque, observa a Eset.
Curiosamente, o código do PromptLock contém um endereço de Bitcoin codificado, associado ao criador do Bitcoin, Satoshi Nakamoto. Segundo especialistas, isso pode ser uma espécie de homenagem à pessoa por parte dos criadores do vírus, mas também pode ser uma manobra de distração.
Especialistas observam semelhanças entre o PromptLock e outro programa, o LAMEHUG, que também utiliza o modelo de linguagem HuggingFace para gerar comandos. No entanto, o PromptLock é completamente autônomo e independente de APIs externas. Graças a essa integração com a IA, o vírus consegue se adaptar ao ambiente em tempo real, enfatiza a Eset.
Os administradores de rede são aconselhados a monitorar a execução de scripts Lua, especialmente aqueles relacionados à criptografia, e verificar as conexões de saída para proxies com a infraestrutura Ollama.