Il nuovo campione è stato chiamato PromptLock. È scritto in Go e utilizza il modello locale gpt-oss:20b di OpenAI tramite l’interfaccia Ollama per generare script Lua dannosi in tempo reale.
Gli script vengono eseguiti direttamente sul dispositivo e consentono al programma di elencare i file sul disco, analizzarne il contenuto, scaricare i dati selezionati e crittografarli. Il codice funziona in egual modo su Windows, Linux e macOS, il che rende la minaccia multipiattaforma.
Secondo l’idea dell’autore, il malware non solo può copiare o crittografare le informazioni, ma anche distruggerle completamente, sebbene la funzionalità di distruzione non sia ancora stata implementata.
Nei prompt generati, i ricercatori hanno trovato un indirizzo di portafoglio Bitcoin associato all’identità di Satoshi Nakamoto, il che alimenta ulteriormente l’interesse per il campione.
L’algoritmo SPECK con una chiave a 128 bit viene utilizzato come meccanismo di crittografia dei file. Questa scelta indica la natura sperimentale dello sviluppo piuttosto che uno strumento pronto per attacchi su larga scala.
Gli esperti sottolineano che finora tutti gli indizi indicano un prototipo o una versione demo: le copie trovate per Windows e Linux sono state caricate su VirusTotal, ma non ci sono dati sulla distribuzione di massa.
Ciononostante, il fatto che venga utilizzato un modello generativo per creare dinamicamente codice dannoso rende la minaccia fondamentalmente nuova e degna dell’attenzione della comunità professionale.
ESET ha classificato il programma come Filecoder.PromptLock.A e sottolinea che, anche allo stato di concept, tali progetti aprono la strada all’emergere di una nuova generazione di ransomware.
#ESETResearch has discovered the first known AI-powered ransomware, which we named #PromptLock. The PromptLock malware uses the gpt-oss:20b model from OpenAI locally via the Ollama API to generate malicious Lua scripts on the fly, which it then executes. PromptLock leverages Lua scripts generated from hard-coded prompts to enumerate the local filesystem, inspect target files, exfiltrate selected data, and perform encryption. These Lua scripts are cross-platform compatible, functioning on #Windows, #Linux, and #macOS. Based on the detected user files, the malware may exfiltrate data, encrypt it, or potentially destroy it. Although the destruction functionality appears to be not yet implemented. #Bitcoin address used in the prompt appears to belong to Bitcoin creator en.wikipedia.org/wiki/Satoshi_… For its file encryption mechanism, the PromptLock ransomware utilizes the SPECK 128-bit encryption algorithm. Although multiple indicators suggest the sample is a proof-of-concept (PoC) or work-in-progress rather than fully operational malware deployed in the wild, we believe it is our responsibility to inform the cybersecurity community about such developments. The PromptLock ransomware is written in #Golang, and we have identified both Windows and Linux variants uploaded to VirusTotal. IoCs: 🚨 Filecoder.PromptLock.A 📄 24BF7B72F54AA5B93C6681B4F69E579A47D7C102 AD223FE2BB4563446AEE5227357BBFDC8ADA3797 BB8FB75285BCD151132A3287F2786D4D91DA58B8 F3F4C40C344695388E10CBF29DDB18EF3B61F7EF 639DBC9B365096D6347142FCAE64725BD9F73270 161CDCDB46FB8A348AEC609A86FF5823752065D2
