PromptLock utilizza un modello AI locale per generare in tempo reale script Lua compatibili con Windows, Linux e macOS. Basandosi su prompt predefiniti, decide autonomamente se esfiltrare o cifrare i dati. Sfrutta un modello accessibile via API e, pur essendo una proof of concept, rappresenta una minaccia concreta
I ricercatori di ESET, leader europeo globale nel mercato della cybersecurity, hanno scoperto un nuovo tipo di ransomware che sfrutta l’intelligenza artificiale generativa (GenAI) per eseguire attacchi. Chiamato PromptLock, il malware utilizza un modello linguistico AI accessibile in locale per generare script dannosi in tempo reale. Durante l’infezione, l’AI decide in autonomia quali file cercare, copiare o cifrare — segnando un potenziale punto di svolta nelle modalità operative della criminalità informatica.
“La comparsa di strumenti come PromptLock evidenzia un cambiamento significativo nello scenario delle minacce informatiche”, ha dichiarato Anton Cherepanov, senior malware researcher di ESET, che ha analizzato il malware insieme al collega Peter Strýček.
PromptLock genera script in Lua compatibili con diversi sistemi operativi, tra cui Windows, Linux e macOS. Il malware esamina i file locali, ne analizza il contenuto e — in base a prompt testuali predefiniti — stabilisce se esfiltrare o cifrare i dati. Una funzione distruttiva è già presente nel codice, sebbene al momento risulti inattiva.
Il ransomware utilizza l’algoritmo di cifratura SPECK a 128 bit ed è scritto in Golang. Le prime varianti sono già state individuate sulla piattaforma di analisi malware VirusTotal. Sebbene ESET consideri PromptLock una ‘proof of concept’, la minaccia che rappresenta è concreta.
“Con il supporto dell’AI, lanciare attacchi sofisticati è diventato molto più semplice — non è più necessario un team di sviluppatori esperti”, ha aggiunto Cherepanov. “Un modello AI configurato in modo adeguato è ormai sufficiente per creare malware complessi e adattivi. Se implementate correttamente, minacce di questo tipo potrebbero complicare notevolmente il rilevamento e rendere il lavoro dei difensori della cybersecurity ancora più impegnativo”.
PromptLock si appoggia a un modello linguistico liberamente disponibile tramite API, il che significa che gli script malevoli vengono forniti direttamente al dispositivo compromesso. È interessante notare che il prompt contiene anche un indirizzo Bitcoin, presumibilmente collegato al creatore di Bitcoin, Satoshi Nakamoto.
ESET ha pubblicato i dettagli tecnici per sensibilizzare la comunità della cybersecurity. Il malware è stato classificato come Filecoder.PromptLock.A.
