Источник заразы: обнаружен первый использующий ИИ компьютерный вирус

ИБ-компания ESET обнаружила вредоносную программу-вымогателя, который использует искусственный интеллект (ИИ), говорится в сообщении компании в соцсети X. В компании утверждают, что это первая такая программа в мире, которую удалось зафиксировать. Ей дали название PromptLock. PromptLock использует модель GPT-OSS-20b от OpenAI, чтобы генерировать вредоносные скрипты на ходу прямо на зараженном компьютере. Скорее всего, эта программа-вымогатель является прототипом, чем полнофункциональным вредоносным софтом, указывают в ESET.
Вредоносная программа основана на оригинальной идее, поясняют эксперты ведущего поставщика решений в области кибербезопасности F6. «Если судить по описанию, это классический вредоносный софт, написанный руками. При этом в нем есть модуль, который использует нейросети для генерации скриптов — это небольшая программа, выполняющая конкретную задачу на зараженном компьютере», — говорят там.
Впрочем, по мнению ведущего эксперта Kaspersky GReAT Татьяны Шишковой, идею использования злоумышленниками ИИ в создании вредоносных программ нельзя назвать новой. «В конце 2024 года появилась программа-шифровальщик FunkSec. С ее использованием злоумышленники атаковали организации из госсектора, а также IT-сферы, финансов и образования в Европе и Азии. Создатели FunkSec активно использовали для ее разработки генеративный ИИ: судя по техническому анализу, многие фрагменты кода были написаны не вручную, а автоматически», — рассказывает она.
По словам ведущего аналитика отдела мониторинга ИБ «Спикател» Алексея Козлова, вирус использует одну из моделей компании OpenAI для генерации скриптов Lua (язык программирования для автоматизации задач и создания пользовательского контента) «на лету». «Такие скрипты совместимы со всеми основными операционными системами вроде Windows, Linux и macOS. Вирус может извлекать данные, шифровать их или потенциально уничтожать (эта функция еще не реализована), — анализирует Козлов. — В одном из промптов используется адрес криптокошелька, который может быть связан с создателем биткоина — вероятно, такой адрес использовали для тестирования работы кода. Исследователи отмечают, что образец вируса, по-видимому, представляет собой прототип или разработку, а не полностью работоспособное вредоносное ПО».
Новый шифровальщик PromptLock, по словам Шишковой, примечателен тем, что в него внедрили ИИ-модель с открытым исходным кодом для локального запуска. «То есть вредоносный код генерируется с использованием ИИ не на стороне злоумышленников, а локально — на зараженном устройстве, — указывает она. — При этом PromptLock на данный момент не является полностью функциональным, также нет информации о реальных жертвах его атак. Вероятно, он является либо вредоносным софтом на стадии разработки, либо концептом такого софта от некого исследователя».
Злоумышленники все чаще используют генеративный ИИ для создания вредоносных инструментов, делятся наблюдениями в «Лаборатории Касперского». Подобный подход потенциально позволяет атакующим ускорять процесс разработки и быстрее адаптировать свои тактики, а также может снизить порог входа в индустрию, размышляет Татьяна Шишкова. «Но сгенерированный таким образом код часто содержит ошибки: например, в одной программе могут использоваться команды для разных операционных систем. При этом применение атакующими новых технологий кардинально не меняет существующий ландшафт киберугроз», — рассуждает она. К тому же ИИ используют для защиты и специалисты по кибербезопасности — для повышения эффективности защитных решений и противодействия атакам, заключает Шишкова.
Алексей Козлов предрекает волну новых подобных вирусов: «Надвигается новая волна атак, похожая на ту, которая принесла с собой множество шифровальщиков. Скорее всего, будут такие же шифровальщики, но более быстрые и умные».
О том, что использование хакерами ИИ будет оказывать все большое влияние на ландшафт киберугроз, специалисты по ИБ рассказывали ранее Forbes. Это будет выражаться в увеличении числа длительных и комплексных атак, когда киберпреступники непрерывно перебирают все возможные векторы и инструменты для взлома компании, и после отражения атаки одного типа сразу же происходит попытка следующей — через другие точки входа, другие потенциальные бреши в защите, рассказывал генеральный директор RED Security Иван Вассунов. «На этом фоне еще острее встанет проблема дефицита кадров в отрасли», — добавлял он.
Уже сегодня злоумышленники все чаще и эффективнее применяют ИИ для разработки ВПО, поиска уязвимостей и проведения кибератак, а в будущем смогут автоматизировать трудоемкие операции по анализу скомпрометированной инфраструктуры, поиску «болевых точек» и обнаружению наиболее ценной информации, убежден СЕО Security Vision Руслан Рахметов.