ESET identifie PromptLock, un ransomware inédit exploitant l’IA générative pour ses opérations.

Ce malware utilise un modèle de langage local générant automatiquement des scripts Lua malveillants compatibles tous systèmes (Windows, Linux, macOS).

PromptLock s’appuie sur un modèle gratuit via API, déployant les scripts directement sur l’appareil ciblé.

Grâce à des instructions préprogrammées, il décide automatiquement d’exfiltrer ou de chiffrer les données.

Malgré son statut de preuve de concept, PromptLock constitue une menace concrète.

ESET identifie PromptLock, un ransomware révolutionnaire exploitant l’intelligence artificielle générative. Ce malware intègre un modèle de langage pour générer automatiquement des scripts malveillants et décider de façon autonome quels fichiers cibler, marquant une évolution majeure des cyberattaques.

” L’émergence d’outils comme PromptLock met en évidence un changement significatif dans le paysage des cybermenaces“, explique Anton Cherepanov, chercheur senior chez ESET ayant analysé le malware avec son collègue Peter Strýček.

PromptLock génère des scripts Lua multiplateformes (Windows, Linux, macOS) qui analysent les fichiers locaux. Grâce à des invites prédéfinies, l’IA détermine automatiquement s’il faut exfiltrer ou chiffrer les données. Une fonction destructrice existe mais demeure inactive.

Développé en Golang avec un chiffrement SPECK 128 bits, ce ransomware a déjà été détecté sur VirusTotal. ESET le considère comme une preuve de concept représentant néanmoins une menace réelle.

<< Avec l’aide de l’IA, le lancement d’attaques sophistiquées est devenu beaucoup plus facile, éliminant ainsi le besoin d’équipes de développeurs qualifiés >>, précise Cherepanov. << Un modèle d’IA bien configuré est désormais suffisant pour créer des logiciels malveillants complexes et auto-adaptables. Si elles sont correctement mises en œuvre, ces menaces pourraient compliquer considérablement la détection et rendre le travail des défenseurs considérablement plus difficile. >>

Le malware exploite un modèle de langage gratuit via API pour générer directement les scripts sur l’appareil infecté. La note de rançon contient une adresse Bitcoin prétendument liée à Satoshi Nakamoto.

ESET a divulgué les détails techniques de sa découverte pour sensibiliser la communauté des défenseurs en cyber sécurité. Le malware est référencé sous l’appellation Filecoder.PromptLock.A.

