นักวิจัยด้านความปลอดภัยทางไซเบอร์พบ Ransomware ที่ใช้ AI ตัวแรกที่มีชื่อว่า PromptLock โดยใช้ Lua scripts ในการขโมย และเข้ารหัสข้อมูลบนระบบ Windows, macOS และ Linux
มัลแวร์ตัวนี้ใช้โมเดล gpt-oss:20b ของ OpenAI ผ่าน Ollama API เพื่อสร้างสคริปต์ Lua ที่เป็นอันตรายขึ้นมาแบบไดนามิกจาก prompt ที่ฝังอยู่ในโค้ด
การทำงานของ PromptLock
นักวิจัยจาก ESET เปิดเผยว่า PromptLock ถูกเขียนขึ้นมาด้วยภาษา Golang และใช้ Ollama API เพื่อเข้าถึงโมเดล LLM ที่ชื่อว่า gpt-oss:20b โดย LLM ตัวนี้ถูก host ไว้บนเซิร์ฟเวอร์ภายนอก โดยผู้โจมตีจะเชื่อมต่อผ่าน Proxy tunnel
มัลแวร์ตัวนี้ใช้ prompts ที่ฝังอยู่ในโค้ด เพื่อสั่งการให้โมเดลสร้างสคริปต์ Lua ที่เป็นอันตรายขึ้นมาแบบไดนามิก ซึ่งรวมถึงการสำรวจระบบไฟล์ในเครื่อง, การตรวจสอบไฟล์เป้าหมาย, การส่งข้อมูลออกไปภายนอก และการเข้ารหัสไฟล์
นักวิจัยยังระบุว่า พบฟังก์ชันการทำลายข้อมูล (data destruction) แต่ฟีเจอร์ดังกล่าวยังไม่ถูกนำมาใช้งานจริงในเวอร์ชันที่พบ
สำหรับการเข้ารหัสไฟล์ PromptLock ใช้จะอัลกอริทึม SPECK 128-bit ซึ่งถือเป็นตัวเลือกที่ค่อนข้างแปลกสำหรับ Ransomware โดยปกติแล้วอัลกอริทึมนี้มักเหมาะสำหรับการใช้งานกับ RFID มากกว่า
ณ ตอนนี้ยังเป็นแค่เพียงตัว Demo อยู่
ทาง ESET ได้เปิดเผยกับ BleepingComputer โดยระบุว่า PromptLock ยังไม่เคยปรากฏในระบบ telemetry ของบริษัท แต่พวกเขาค้นพบมันบนแพลตฟอร์มของ VirusTotal
บริษัทด้านความปลอดภัยทางไซเบอร์เชื่อว่า PromptLock เป็นเพียง Proof-of-Concept หรือโปรเจกต์ที่ยังอยู่ระหว่างการพัฒนา และยังไม่ได้เป็น Ransomware ที่ถูกใช้โจมตีอยู่จริง
ยิ่งไปกว่านั้น ยังมีสัญญาณหลายอย่างที่แสดงให้เห็นว่านี่เป็นเพียง Concept tool มากกว่าที่จะเป็นภัยคุกคามจริงในตอนนี้ โดยมีเบาะแสบางอย่างที่แสดงให้เห็นถึงเรื่องนี้ ได้แก่ การใช้การเข้ารหัสที่ไม่รัดกุม (SPECK 128-bit), การใช้ Bitcoin address แบบ hard-coded ที่เชื่อมโยงกับ Satoshi Nakamoto และข้อเท็จจริงที่ว่าฟังก์ชันการทำลายข้อมูลยังไม่ถูกนำมาใช้งาน
หลังจากที่ ESET เผยแพร่รายละเอียดเกี่ยวกับ PromptLock ก็มีนักวิจัยด้านความปลอดภัยรายหนึ่งได้ออกมาอ้างว่า มัลแวร์ดังกล่าวเป็นโปรเจกต์ของพวกเขาที่หลุดออกไปโดยไม่ตั้งใจ
อย่างไรก็ตาม การปรากฏตัวของ PromptLock ถือว่ามีความสำคัญอย่างยิ่งในการแสดงให้เห็นว่า AI สามารถถูกใช้เป็นเครื่องมือในกระบวนการทำงานของมัลแวร์ได้ ซึ่งช่วยให้มัลแวร์สามารถทำงานข้ามแพลตฟอร์ม, มีความยืดหยุ่นในการทำงาน, สามารถหลบเลี่ยงการตรวจจับ และยังช่วยให้ลดอุปสรรคสำหรับผู้ที่ต้องการเข้าสู่วงการอาชญากรรมทางไซเบอร์ได้อีกด้วย
พัฒนาการดังกล่าวเริ่มชัดเจนขึ้นในเดือนกรกฎาคม เมื่อ CERT ของยูเครนได้รายงานการค้นพบมัลแวร์ LameHug ซึ่งเป็นเครื่องมือที่ขับเคลื่อนด้วย LLM โดยใช้ Hugging Face API และ Qwen-2.5-Coder-32B ของ Alibaba เพื่อสร้างคำสั่ง Windows shell ขึ้นมาแบบ Real-time
เชื่อกันว่ามัลแวร์ LameHug ถูกนำมาใช้งานโดยกลุ่มแฮ็กเกอร์ชาวรัสเซีย (APT28) โดยอาศัยการเรียกใช้ API โดยตรง แทนที่จะใช้การทำงานผ่าน proxy เหมือน PromptLock แม้ว่าทั้งสองวิธีจะให้ผลลัพธ์ในทางปฏิบัติเหมือนกัน แต่วิธีของ PromptLock จะมีความซับซ้อน และมีความเสี่ยงมากกว่า
ที่มา : bleepingcomputer
You must be logged in to post a comment.