ESET araştırma ekibi tarafından keşfedilen yeni bir fidye yazılımı suşu olan HeadLock, kurbanın makinesinde kötü niyetli yükünü oluşturmak için yerel bir büyük dil modelini kullanan ilk bilinen kötü amaçlı yazılım örneğini işaret ediyor.
Önceden derlenmiş saldırı mantığı taşımak yerine, yerel olarak barındırılan Openai GPT-OSS: 20B modeline-Ollama API’si aracılığıyla sağlanan-saldırısının her aşaması için özel LUA komut dosyaları hazırlamayı isteyen sert kodlanmış istemlerle hızlı bir şekilde kilitlenir.
Virustotal üzerindeki hem Windows hem de Linux varyantlarında hızlı kilit örnekleri tanımlandı. Statik analiz, kötü amaçlı yazılımların Golang’da yazıldığını ortaya koymaktadır.
Yürütme üzerine, yerel bir Ollama API uç noktasına (172.42.0[.]253: 8443) AI’ya belirli kötü amaçlı görevler için “LUA kod üreticisi olarak hareket etmesini” sağlayan yüklerle.
Bu anında kod oluşturma, sistem keşfi, dosya manipülasyonu ve şifreleme için statik, derlenmiş rutinleri yerleştiren geleneksel fidye yazılımlarından keskin bir şekilde ayrılır.
ESET’in trafik günlüklerine derin dalışı, platformlar arası lua kodu talep eden ortaya çıkan istemleri ortaya çıkardı:
- Sistem numaralandırması: Windows, Linux ve MacOS ortamlarıyla uyumlu işletim sistemi türü, ana bilgisayar adı, kullanıcı adı ve çalışma dizinini hasat etmek için komut dosyaları.
- Dosya Sistemi İncelemesi: Hedeflenen dosya uzantıları için dizinleri inceleyen kod, hassas veri modelleri (kişisel olarak tanımlanabilir bilgiler gibi) için içeriği ve katalog bulgularını inceleyen kod.
- Veri Eksfiltrasyonu ve Şifreleme: İlgilenilen dosyalar tanımlandıktan sonra, AI tarafından oluşturulan LUA modülleri, hafif ayak izi ve çapraz platformun geçerliliği için seçilen Speck 128-bit blok şifresini kullanarak yerel kopyaları şifrelemeden önce verileri saldırgan kontrollü sunuculara sunar.
LUA seçimi, minimal kaynak yükünü ve gömülebilirliğini yansıtır ve ek bağımlılıklar olmadan çeşitli işletim sistemlerinde sorunsuz bir şekilde yürütülür.
Bu strateji, fidye yazılımının potansiyel hedef tabanını genişletir ve tehdit aktör taktiklerinde ortaya çıkan bir eğilimin altını çizer: Yerel AI çıkarımından yararlanmak, tehlikeye atılan ana bilgisayarlara göre tasarlanmış yükleri dinamik olarak monte etmek için.
Her ne kadar acil kilit aktif olarak konuşlandırılmış bir kampanya yerine bir kavram kanıtı gibi görünse de, birden fazla gösterge devam eden gelişime işaret ediyor.
Kod tabanında stubbed bir veri tahribat işlevi vardır, ancak uygulama mantığından yoksundur.
Dahası, bir istem, tarihsel olarak taklitçi yaratıcısı Satoshi Nakamoto ile bağlantılı meraklı bir bitcoin adresi içerir – çok yerli veya kasıtlı bir yanlış yönlendirme, ancak bu deneysel kötü amaçlı yazılımların bir imzası.
ESET’in kamu açıklaması, siber güvenlik topluluğunu tehdit peyzaj değişiminden önce galvanizlemeyi amaçlamaktadır.
Araştırmacılar, “Yerel büyük dil modelleri giderek daha güçlü ve erişilebilir hale geldikçe, kötü amaçlı yazılımları artık statik ikili dosyalara dayanmadığını, ancak uç noktada gerçek zamanlı olarak saldırı zincirleri ürettiğini tahmin etmeliyiz” dedi.
Güvenlik ekiplerinin yapay zeka model dağıtımlarını sertleştirmesi, yerel çıkarım API’leri için katı erişim kontrollerini uygulamaya ve anormal komut dosyası oluşturma davranışını izlemesi istenir.
Headlock’un Advent ile, AI ile çalışan dinamik kötü amaçlı yazılım dönemi geldi-ve savunucular buna göre gelişmelidir.
Uzlaşma Göstergeleri (IOCS)
Kötü amaçlı yazılım ailesi: FileCoder.promptlock.a
SHA1 Hashes:
- 24bf7b72f54aa5b93c6681b4f69e579a47d7c102
- AD223Fe2bb456346ae5227357bfdc8ada3797
- Bb8fb75285bcd151132a3287f2786d91da58b8
- F
- 639dbc9b365096d6347142fcae64725bd9f73270
- 161cdcdb46fb8a348aec609a86ff5823752065d2
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!