Investigadores de cibersegurança descobriram o primeiro ransomware que utiliza um modelo de Inteligência Artificial (IA) para gerar dinamicamente os seus componentes maliciosos. Batizado de PromptLock, este novo tipo de malware é capaz de atacar sistemas Windows, macOS e Linux, demonstrando uma perigosa evolução nas capacidades do cibercrime.
A descoberta foi feita por analistas da ESET, que encontraram o PromptLock na plataforma VirusTotal. A principal característica que o distingue é a sua capacidade de usar o modelo de IA gpt-oss:20b da OpenAI, através da API Ollama, para criar scripts maliciosos em tempo real a partir de instruções pré-definidas.
Como funciona o PromptLock?
Escrito na linguagem de programação Go, o PromptLock conecta-se a um servidor remoto que aloja o modelo de IA. A partir daí, envia instruções (prompts) para que a IA gere scripts em Lua, concebidos para executar várias tarefas maliciosas no sistema da vítima. Estas tarefas incluem a enumeração do sistema de ficheiros para encontrar dados valiosos, a inspeção de ficheiros específicos, a exfiltração (roubo) de dados e, por fim, a cifragem dos ficheiros.
Para o processo de cifragem, o PromptLock utiliza o algoritmo SPECK 128-bit, uma escolha invulgar e considerada relativamente fraca, mais adequada para aplicações de baixa complexidade como RFID.
Ainda um projeto em desenvolvimento
Apesar do seu conceito inovador, os especialistas acreditam que o PromptLock é, para já, uma prova de conceito ou um projeto em desenvolvimento, e não um
ransomware ativo. Vários indícios suportam esta teoria: a utilização de um algoritmo de cifragem fraco, a presença de um endereço de Bitcoin codificado diretamente que pertence a Satoshi Nakamoto (o criador da Bitcoin), e o facto de uma funcionalidade de destruição de dados estar prevista mas ainda não implementada.
Após a publicação da análise da ESET, um investigador de segurança veio a público afirmar que o malware era um projeto seu que tinha sido divulgado acidentalmente.
Um vislumbre perigoso do futuro do cibercrime
Mesmo sendo uma prova de conceito, o aparecimento do PromptLock é um marco significativo. Demonstra como a Inteligência Artificial pode ser instrumentalizada para criar ataques mais flexíveis, com maior capacidade de evasão e, potencialmente, baixar a barreira de entrada para novos cibercriminosos.
Este não é um caso isolado. Em julho, o CERT da Ucrânia reportou a descoberta do malware LameHug, que se acredita ter sido utilizado por hackers russos do grupo APT28. Este software também recorre a um modelo de IA (o Qwen-2.5-Coder-32B da Alibaba) para gerar comandos de shell para Windows em tempo real, provando que esta técnica já está a ser aplicada em ataques concretos.
Nenhum comentário
Seja o primeiro!