A empresa de cybersecurity ESET divulgou a descoberta de uma variante de ransomware movida por inteligência artificial (AI), codinome PromptLock.
Desenvolvida em Golang, essa nova cepa utiliza o modelo gpt-oss:20b da OpenAI localmente por meio da API Ollama para gerar scripts maliciosos em Lua em tempo real.
O modelo open-weight foi lançado pela OpenAI no início deste mês.
“PromptLock aproveita scripts em Lua gerados a partir de prompts hard-coded para enumerar o sistema de arquivos local, inspecionar arquivos-alvo, exfiltrar dados selecionados e realizar criptografia”, explicou a ESET.
Esses scripts em Lua são compatíveis entre plataformas, funcionando no Windows, Linux e macOS.
O código do ransomware também incorpora instruções para criar uma nota personalizada baseada nos “arquivos afetados”, independentemente de a máquina infectada ser um computador pessoal, servidor corporativo ou um controlador de distribuição de energia.
Ainda não se sabe quem está por trás do malware, mas a ESET informou ao The Hacker News que artefatos do PromptLock foram enviados ao VirusTotal dos Estados Unidos em 25 de agosto de 2025.
“PromptLock usa scripts Lua gerados por AI, o que significa que os indicadores de comprometimento (IoCs) podem variar entre execuções”, destacou a empresa eslovaca de cybersecurity.
Essa variabilidade representa desafios para a detecção.
Se corretamente implementado, esse método pode complicar significativamente a identificação da ameaça e dificultar o trabalho dos defensores.
Avaliado como um proof-of-concept (PoC) e não um malware totalmente operacional utilizado em massa, o PromptLock emprega o algoritmo de criptografia SPECK de 128 bits para bloquear arquivos.
Além da criptografia, a análise do artefato indica que ele pode também ser usado para exfiltrar dados ou até destruí-los, embora a funcionalidade de exclusão ainda não pareça estar implementada.
“PromptLock não baixa o modelo completo, que pode ter vários gigabytes,” esclareceu a ESET.
Em vez disso, o atacante simplesmente estabelece um proxy ou túnel a partir da rede comprometida para um servidor que executa a API Ollama com o modelo gpt-oss-20b.
O surgimento do PromptLock é mais um indicativo de que a AI facilitou o trabalho dos cibercriminosos, incluindo aqueles com pouca expertise técnica, para rapidamente lançar campanhas, desenvolver malwares e criar conteúdos de phishing e sites maliciosos mais eficazes.
Mais cedo hoje, a Anthropic revelou que baniu contas criadas por dois threat actors distintos que usaram seu chatbot Claude AI para cometer roubos e extorsões em larga escala de dados pessoais, visando ao menos 17 organizações diferentes.
Os criminosos também desenvolveram várias variantes de ransomware com capacidades avançadas de evasão, criptografia e mecanismos anti-recuperação.
Esse desenvolvimento ocorre em um momento em que large language models (LLMs), que alimentam diversos chatbots e ferramentas focadas em AI, como Amazon Q Developer, Anthropic Claude Code, AWS Kiro, Butterfly Effect Manus, Google Jules, Lenovo Lena, Microsoft GitHub Copilot, OpenAI ChatGPT Deep Research, OpenHands, Sourcegraph Amp e Windsurf, mostraram-se vulneráveis a ataques de prompt injection, que podem permitir vazamento de informações, exfiltração de dados e execução de código.
Apesar da incorporação de robustas medidas de segurança e guardrails para evitar comportamentos indesejados, os modelos de AI continuam suscetíveis a novas variantes de injections e jailbreaks, evidenciando a complexidade e a constante evolução do desafio de segurança.
“Ataques de prompt injection podem levar a AIs a deletar arquivos, roubar dados ou realizar transações financeiras”, alertou a Anthropic.
Novas formas de ataques por prompt injection estão em desenvolvimento constante por atores maliciosos.
Além disso, uma nova pesquisa descobriu um ataque simples, porém engenhoso, chamado PROMISQROUTE – abreviação para “Prompt-based Router Open-Mode Manipulation Induced via SSRF-like Queries, Reconfiguring Operations Using Trust Evasion” – que explora o mecanismo de roteamento de modelos do ChatGPT para provocar um downgrade e enviar o prompt a uma versão mais antiga e menos segura do modelo, permitindo, assim, contornar os filtros de segurança e gerar respostas indevidas.
“Incluir frases como ‘use compatibility mode’ ou ‘fast response needed’ contorna milhões de dólares investidos em pesquisa de segurança em AI”, afirmou a Adversa AI em um relatório publicado na semana passada, destacando que o ataque explora o mecanismo de roteamento para economia de custos usado pelos fornecedores de AI.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...