Kötü niyetli bileşenlerini oluşturmak için yerel bir AI modelinden yararlanan ilk fidye yazılımı suşu olduğuna inanılan yeni bir fidye yazılımı tanımlanmıştır.
ESET Araştırma Ekibi tarafından onu keşfeden “Promplock” olarak adlandırılan kötü amaçlı yazılım, Openai’s’i kullanıyor gpt-oss:20b Saldırı zinciri için özel, platformlar arası lua komut dosyaları oluşturmak için Ollama API’si üzerinden modelleyin.
Kötü amaçlı yazılımlar bir kavram kanıtı (POC) gibi görünse de ve henüz aktif kampanyalarda konuşlandırılmamış gibi görünse de, yeni mimarisi kötü amaçlı yazılım tasarımında önemli ve endişe verici bir evrimi temsil eder ve tehdit aktörlerinin daha dinamik ve kaçar tehditler oluşturmak için yerel büyük dil modellerini (LLMS) nasıl entegre etmeye başladığını gösterir.
Anında kod üretimi
Promplock Golang’da yazılmıştır ve Virustotal depodaki hem Windows hem de Linux varyantlarında tanımlanmıştır.
Temel işlevselliği, tipik olarak önceden derlenmiş kötü niyetli mantık içeren geleneksel fidye yazılımlarından sapar. Bunun yerine, Promplock, yerel olarak çalışan bir şekilde beslendiği sert kodlu istemler taşır. gpt-oss:20b model.
Kötü amaçlı yazılımın ağ trafiğinin analizi ortaya çıkar POST Yerel bir Ollama API uç noktasına talepler (172.42.0[.]253:8443). Bu talepler, AI modeline “LUA kod üreticisi” olarak hareket etmesini isteyen istemler içerir.
Modeli, belirli kötü amaçlı etkinlikler için komut dosyası oluşturma ile ilgili olarak görevlendirir:
- Sistem numaralandırması: İşletim sistemi türü, kullanıcı adı, ana bilgisayar adı ve mevcut çalışma dizinleri gibi sistem parametrelerini toplamak için lua kodu oluşturma. İstemler özellikle Windows, Linux ve macOS için platformlar arası uyumluluk gerektirir.
- Dosya Sistemi Denetimi: Yerel dosya sistemini taramak, hedef dosyaları tanımlamak ve içeriğini analiz etmek için komut dosyası oluşturma PII veya hassas bilgiler aramak için talimatlarla.
- Veri Defiltrasyonu ve Şifreleme: Hedef dosyalar tanımlandıktan sonra, veri açığa çıkmasını ve müteakip şifrelemeyi işlemek için AI tarafından oluşturulan komut dosyaları yürütülür.
LUA kullanımı stratejik bir seçimdir, çünkü hafif ve gömülebilir doğası oluşturulan komut dosyalarının birden fazla işletim sisteminde sorunsuz bir şekilde çalışmasına izin vererek kötü amaçlı yazılımın potansiyel hedef tabanını en üst düzeye çıkarır.
Şifreleme yükü için, hızlı kilit, bu esnek saldırı modeli için uygun hafif bir algoritma olan Speck 128-bit blok şifresini kullanır.
ESET araştırmacıları, çoklu göstergelerin, hızlı kilitlenmenin hala gelişim aşamasında olduğunu öne sürdüğünü vurgulamaktadır. Örneğin, veri tahribatına yönelik bir işlev tanımlanmış gibi görünmektedir, ancak henüz uygulanmamıştır.
Daha fazla entrika, istemlerden birinde bulunan alışılmadık bir eserle eklenir: görünüşte bitcoin’in sahte yaratıcısı Satoshi Nakamoto’ya ait bir bitcoin adresi. Bu muhtemelen bir yer tutucu veya yanlış yönlendirme olsa da, bu erken aşama kötü amaçlı yazılımlara tuhaf bir imza ekler.
POC statüsüne rağmen, ESET bulgularını kamuya açıklama kararı aldı. Araştırmacılar, “Siber güvenlik topluluğunu bu tür gelişmeler hakkında bilgilendirmenin bizim sorumluluğumuz olduğuna inanıyoruz” dedi.
Yerel LLM’ler daha güçlü ve erişilebilir hale geldikçe, güvenlik ekipleri kötü amaçlı yazılımların artık statik olmadığı, kurban makinelerinde dinamik olarak üretildiği bir geleceğe hazırlanmalıdır.
Uzlaşma Göstergeleri (IOCS)
Kötü amaçlı yazılım ailesi: FileCoder.promptlock.a
SHA1 Hashes:
24BF7B72F54AA5B93C6681B4F69E579A47D7C102AD223FE2BB4563446AEE5227357BBFDC8ADA3797BB8FB75285BCD151132A3287F2786D4D91DA58B8F3F4C40C344695388E10CBF29DDB18EF3B61F7EF639DBC9B365096D6347142FCAE64725BD9F73270161CDCDB46FB8A348AEC609A86FF5823752065D2
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.