Ransomware sử dụng AI qua mặt phần mềm diệt virus

Mã độc tống tiền mới PromptLock sử dụng AI để thay đổi hành vi theo thời gian thực nhằm tránh bị các công cụ bảo mật truyền thống phát hiện.

Công ty bảo mật ESET (Slovakia) cho biết đã phát hiện mã độc tống tiền (ransomware) tích hợp AI, đặt tên là PromptLock. Mã độc có khả năng tự động thay đổi các tệp tin dựa trên ngữ cảnh, khiến phần mềm diệt virus truyền thống không thể nhận diện.

Theo ESET, điểm đặc biệt là PromptLock không sử dụng các chuỗi mã cố định. Thay vào đó, nó nhúng một mô hình AI cục bộ, sử dụng API Ollama để truy cập vào mô hình ngôn ngữ lớn gpt-oss-20b do OpenAI phát triển, từ đó tạo ra các tập lệnh có thể thực hiện nhiều chức năng khác nhau trên hệ thống Windows, macOS và Linux. Sau đó, nó tự tạo các đoạn mã độc viết bằng ngôn ngữ Lua, thay đổi tùy theo môi trường của máy tính nạn nhân.

Lua được đánh giá là một lựa chọn kỳ lạ đối với ransomware vì ngôn ngữ lập trình này chủ yếu được dùng để phát triển trò chơi trong Roblox hoặc plugin cho trình soạn thảo văn bản NeoVim. Tuy nhiên, đây cũng là ngôn ngữ đa năng, mang lại nhiều lợi thế cho kẻ tấn công ransomware như hiệu năng tốt, hỗ trợ đa nền tảng và tập trung vào tính đơn giản.

Ảnh: HT Tech

Khi mã độc được kích hoạt trên máy tính nạn nhân, AI sẽ tạo ra các chuỗi mã và biến thể mới để thực hiện hành vi mã hóa dữ liệu. Trước đây, mã độc thường sử dụng thuật toán tĩnh hoặc dựa vào API đã biết. Còn PromptLock có khả năng né tránh các hệ thống phát hiện hành vi bất thường.

Ngoài ra, nó còn gây khó khăn cho việc theo dõi qua API (giao diện lập trình ứng dụng). Thay vì sử dụng API quen thuộc để mã hóa dữ liệu, mã độc có thể tự tạo ra lệnh mới hoặc sử dụng các kỹ thuật ít phổ biến hơn.

Các nhà nghiên cứu của ESET cho biết PromptLock vẫn ở giai đoạn thử nghiệm, chưa được triển khai rộng rãi trong các cuộc tấn công thực tế vì một số chức năng, như khả năng tự hủy dữ liệu, chưa hoàn thiện. Tuy nhiên, sự xuất hiện của nó là tín hiệu đáng báo động. Việc mã độc có khả năng tạo ra các chỉ số tấn công (IoCs) khác nhau mỗi lần thực thi sẽ gây ra thách thức lớn cho công cụ bảo mật truyền thống vốn dựa trên việc phát hiện các chuỗi mã và hành vi đã biết.

“PromptLock cho thấy một tương lai nơi các công cụ AI có thể được sử dụng để tự động hóa các giai đoạn khác nhau của một cuộc tấn công, từ trinh sát đến mã hóa dữ liệu, với tốc độ và quy mô chưa từng có”, ESET nhận định. “Các phần mềm diệt virus truyền thống sẽ gặp khó khăn lớn trong việc đối phó với những biến thể mã độc không ngừng thay đổi”.

Các chuyên gia khuyến cáo người dùng nên thường xuyên cập nhật phần mềm, sử dụng giải pháp bảo mật đa lớp và sao lưu dữ liệu thường xuyên để giảm thiểu thiệt hại nếu bị tấn công.

Nguồn vnexpress.net