По данным исследователей, PromptLock использует локальную реализацию модели gpt-oss:20b через API Ollama, что позволяет ему работать в средах Windows, macOS и Linux без создания отдельных версий. Эта особенность повышает гибкость вируса и затрудняет его обнаружение.
Код программы написан на языке Go и классифицируется как Filecoder.PromptLock.A. Вредоносное ПО сканирует файловую систему, после чего осуществляет выборочную эксфильтрацию данных и их шифрование по 128-битному алгоритму Speck. При этом сама языковая модель не встроена в код PromptLock — он подключается к ней через собственный сервер с использованием прокси, что позволяет обходить сетевые ограничения.
В коде присутствуют элементы, указывающие на потенциально разрушительные функции, однако они пока не fully реализованы. В ESET предполагают, что программа может быть экспериментальным образцом, не предназначенным для массового распространения. Тем не менее, появление подобных решений знаменует новый этап в развитии киберугроз, где ИИ становится инструментом не только защиты, но и атаки.
Интересно, что в коде PromptLock обнаружен жёстко заданный биткоин-адрес, связанный с создателем Bitcoin Сатоси Накамото. По мнению специалистов, это может быть как данью уважения, так и отвлекающим манёвром.
Эксперты проводят аналогию между PromptLock и другой программой — Lamehug, которая также использует языковую модель HuggingFace для генерации команд. Однако PromptLock отличается полной автономностью и независимостью от внешних API. Благодаря интеграции с ИИ вирус может адаптироваться к окружению в реальном времени.
Администраторам сетей рекомендуется отслеживать выполнение Lua-скриптов, особенно связанных с шифрованием, и проверять исходящие соединения на наличие подключений к инфраструктуре Ollama.
Если вам понравился материал, кликните значок - вы поможете нам узнать, каким статьям и новостям следует отдавать предпочтение. Если вы хотите обсудить материал - не стесняйтесь оставлять свои комментарии : возможно, они будут полезны другим нашим читателям!
