Eset araştırmacıları tarafından keşfedilen ve yeni bir tür fidye yazılımı olan PromptLock adlı kötü amaçlı yazılım, yerel olarak erişilebilir bir yapay zekâ dil modelini çalıştırarak gerçek zamanlı olarak kötü amaçlı komut dosyaları oluşturuyor. Enfeksiyon sırasında yapay zekâ, hangi dosyaları arayacağını, kopyalayacağını veya şifreleyeceğini özerk bir şekilde belirler ve bu, siber suçluların çalışma şekillerinde potansiyel bir dönüm noktası.
Eset’in Kıdemli Kötü Amaçlı Yazılım Araştırmacısı Anton Cherepanov, meslektaşı Peter Strýček ile birlikte kötü amaçlı yazılımı analiz etti ve şunları söyledi:
“PromptLock gibi araçların ortaya çıkışı, siber tehdit ortamında önemli bir değişimi vurguluyor”
PromptLock, Windows, Linux ve macOS dâhil olmak üzere tüm platformlarla uyumlu Lua komut dosyaları oluşturur. Yerel dosyaları tarar, içeriklerini analiz eder ve önceden tanımlanmış metin istemlerine göre verilerin sızdırılacağını mı yoksa şifreleneceğini mi belirler. Kodda yıkıcı bir işlev zaten gömülü olsa da şimdilik etkin değil. Fidye yazılımı, SPECK 128 bit şifreleme algoritmasını kullanır ve Golang ile yazılmıştır. Erken varyantları, kötü amaçlı yazılım analiz platformu VirusTotal’de zaten ortaya çıkmıştır. ESET, PromptLock’u bir kavram kanıtı olarak görse de temsil ettiği tehdit çok gerçektir.
Cherepanov yaptığı açıklamada şunları söyledi:
“Yapay zekânın yardımıyla sofistike saldırılar başlatmak çok daha kolay hâle geldi ve yetenekli geliştiricilerden oluşan ekiplere olan ihtiyaç ortadan kalktı. Artık, iyi yapılandırılmış bir yapay zekâ modeli, karmaşık, kendi kendine uyum sağlayan kötü amaçlı yazılımlar oluşturmak için yeterli. Düzgün bir şekilde uygulandığında bu tür tehditler tespit işlemini ciddi şekilde zorlaştırabilir ve siber güvenlik savunucularının işini çok daha zor hâle getirebilir.”
PromptLock, bir API aracılığıyla erişilebilen ücretsiz bir dil modeli kullanır, yani oluşturulan kötü amaçlı komut dosyaları doğrudan virüs bulaşmış cihaza gönderilir. Özellikle, komut isteminde Bitcoin’in yaratıcısı Satoshi Nakamoto ile bağlantılı olduğu bildirilen bir Bitcoin adresi yer almaktadır.
Eset, siber güvenlik topluluğunda farkındalığı artırmak için teknik ayrıntıları yayımladı. Kötü amaçlı yazılım, Filecoder.PromptLock.A olarak sınıflandırıldı.
Kaynak : 