Des chercheurs d’Eset ont découvert un ransomware en développement qui repose sur l’IA. Il est capable de générer des scripts Lua pour exfiltrer et chiffrer des données, et qui ont la particularité de varier d’une exécution à l’autre.
C’est un fait : les cybercriminels explorent les capacités de l’intelligence artificielle pour développer de nouvelles générations de malwares. Après avoir analysé les résultats de scans antivirus sur le service en ligne VirusTotal, les chercheurs d’Eset Research ont découvert un ransomware expérimental qui utilise l’IA.
Si, habituellement, le code malveillant est écrit à l’avance, ici le logiciel utilise l’intelligence artificielle pour générer son code malveillant en temps réel, en s’appuyant sur le modèle gpt-oss:20b via l’API Ollama. Il génère des scripts Lua qui lui servent à explorer les systèmes, identifier les documents sensibles, puis les extraire et les chiffrer le cas échéant. Ses indices de compromission, eux, peuvent varier d’une exécution à l’autre.
Une preuve de concept
Pour son système de chiffrement, PromptLock utilise un algorithme léger et rapide, Speck 128 bits. Pour l’heure, rien n’indique que le malware ait été déployé ; il s’agirait plutôt d’une preuve de concept ou d’un projet encore en développement, selon Eset.
« Un modèle d’IA bien configuré peut désormais suffire à créer un malware complexe et auto-adaptatif. Si ces techniques sont correctement mises en œuvre, elles pourraient compliquer sévèrement la détection et rendre le travail des défenseurs en cybersécurité beaucoup plus difficile », s’inquiète Anton Cherepanov, chercheur chez Eset, cité dans un communiqué.
Toutefois, le chercheur fait remarquer que, si les scripts Lua varient d’une exécution à l’autre, les exécutables restent inchangés, et des solutions de sécurité robustes pourraient permettre de les identifier efficacement.
