vendredi, juillet 3, 2026
29.7 C
Tunisie

PromptLock, malware multiplateforme généré par IA et détecté par ESET

ESET a découvert PromptLock, le premier ransomware exploitant l’intelligence artificielle générative. Ce malware multiplateforme génère automatiquement des scripts Lua malveillants et prend des décisions autonomes, marquant une étape critique dans l’évolution des attaques automatisées.

ESET Research a mis en lumière PromptLock, un ransomware inédit qui s’appuie sur l’intelligence artificielle générative pour automatiser la production de scripts Lua malveillants. Contrairement aux ransomwares traditionnels, ce malware intègre un modèle de langage local capable de générer du code à la volée et de prendre des décisions autonomes sur l’exfiltration ou le chiffrement des données.

Génération automatisée de scripts Lua

Le cœur du fonctionnement de PromptLock repose sur un LLM (Large Language Model) intégré, qui produit des scripts Lua compatibles avec Windows, Linux et macOS. Ces scripts analysent les fichiers locaux et, en fonction de prompts prédéfinis, déterminent s’il faut exfiltrer les données ou les chiffrer.
Une fonction destructrice existe également dans le code, bien qu’elle soit inactive dans cette version.

Architecture et chiffrement

Le malware est développé en Golang, un langage apprécié pour sa portabilité et sa performance. Pour le chiffrement, PromptLock utilise SPECK 128 bits, un algorithme léger développé initialement par la NSA. Bien que critiqué pour sa vulnérabilité potentielle face aux attaques cryptanalytiques, SPECK reste efficace pour des malwares visant la rapidité et la faible consommation de ressources.

Automatisation via API et modèles gratuits

Un point particulièrement préoccupant est l’utilisation par PromptLock d’un modèle d’IA accessible gratuitement via API. Cette approche réduit considérablement les barrières techniques à l’élaboration de ransomwares sophistiqués. En pratique, le malware ne nécessite plus de pipeline de développement complexe : un LLM configuré suffit pour générer du code malveillant directement sur l’appareil infecté.

Indicateurs de compromission et détection

PromptLock a déjà été détecté sur VirusTotal et est référencé par ESET sous l’appellation Filecoder.PromptLock.A. La note de rançon inclut une adresse Bitcoin associée de manière provocatrice à Satoshi Nakamoto, sans certitude quant à son authenticité.
Pour les équipes de sécurité, les indicateurs à surveiller incluent :

  • Génération anormale de scripts Lua en environnement local.
  • Exécution de code Go compilé exploitant SPECK.
  • Communications sortantes vers des services API suspects.

Implications pour la cybersécurité

Selon Anton Cherepanov, chercheur senior chez ESET, l’IA abaisse le coût et la complexité du développement de malwares : « Un modèle bien configuré suffit pour concevoir des ransomwares adaptatifs, difficiles à détecter et capables d’évoluer rapidement. »
Cette évolution pose un défi majeur pour les SOC (Security Operations Centers), qui doivent désormais intégrer des capacités de détection comportementale et de monitoring des appels API IA.

Une preuve de concept aux conséquences réelles

Bien que présenté comme une preuve de concept, PromptLock illustre la manière dont l’IA peut transformer le paysage des menaces. L’automatisation complète des phases de génération, de décision et de déploiement de code malveillant pourrait inaugurer une nouvelle ère de ransomwares auto-évolutifs et difficilement détectables.

ESET publie ses recherches afin d’alerter la communauté sur l’urgence d’adapter les défenses face à cette nouvelle génération de cyberattaques.

Articles Recents

Samsung Galaxy Unpacked : une fuite confirme la date du 22 juillet à Londres

Samsung s'apprête à dévoiler sa plus large gamme de pliables à ce jour lors d'un Galaxy Unpacked désormais quasi confirmé pour le 22 juillet à Londres, avec un troisième modèle inédit au format élargi.

Pourquoi Apple négocie avec des fabricants chinois blacklistés : l’analyse technique

Décryptage du dossier CXMT/YMTC : pourquoi Apple négocie avec des fabricants chinois blacklistés, quelles règles s'appliquent réellement, et ce que cela change pour la chaîne d'approvisionnement mémoire mondiale.

ESET Research met à nu SprySOCKS for Windows : pilote noyau, détournement TCP et soupçon de bootkit UEFI

WIN_DRV intègre un pilote noyau capable de masquer ses connexions réseau et de détourner le trafic TCP vers un port caché, rendant sa détection quasi impossible depuis l'espace utilisateur.

Galaxy Ring 2 : Samsung mise sur le logiciel, la batterie silicium-carbone et une possible ouverture à iOS

Entre fusion des données biométriques, batterie silicium-carbone et litige de brevets avec Oura, le Galaxy Ring 2 se dessine comme une mise à jour avant tout logicielle, lancement attendu début 2027.

Pénurie de mémoire IA : Xiaomi, Oppo et Vivo réduisent leurs objectifs smartphones 2026 jusqu’à 30 %

Xiaomi ramène son objectif à 95 millions d'unités (−30 %). IDC anticipe −14 % sur l'ensemble des expéditions mondiales 2026. Samsung, SK Hynix et Micron ont réorienté leurs capacités vers l'IA, comprimant l'offre DRAM grand public jusqu'en 2027 au moins.

Topics

Samsung Galaxy Unpacked : une fuite confirme la date du 22 juillet à Londres

Samsung s'apprête à dévoiler sa plus large gamme de pliables à ce jour lors d'un Galaxy Unpacked désormais quasi confirmé pour le 22 juillet à Londres, avec un troisième modèle inédit au format élargi.

Pourquoi Apple négocie avec des fabricants chinois blacklistés : l’analyse technique

Décryptage du dossier CXMT/YMTC : pourquoi Apple négocie avec des fabricants chinois blacklistés, quelles règles s'appliquent réellement, et ce que cela change pour la chaîne d'approvisionnement mémoire mondiale.

ESET Research met à nu SprySOCKS for Windows : pilote noyau, détournement TCP et soupçon de bootkit UEFI

WIN_DRV intègre un pilote noyau capable de masquer ses connexions réseau et de détourner le trafic TCP vers un port caché, rendant sa détection quasi impossible depuis l'espace utilisateur.

Galaxy Ring 2 : Samsung mise sur le logiciel, la batterie silicium-carbone et une possible ouverture à iOS

Entre fusion des données biométriques, batterie silicium-carbone et litige de brevets avec Oura, le Galaxy Ring 2 se dessine comme une mise à jour avant tout logicielle, lancement attendu début 2027.

Pénurie de mémoire IA : Xiaomi, Oppo et Vivo réduisent leurs objectifs smartphones 2026 jusqu’à 30 %

Xiaomi ramène son objectif à 95 millions d'unités (−30 %). IDC anticipe −14 % sur l'ensemble des expéditions mondiales 2026. Samsung, SK Hynix et Micron ont réorienté leurs capacités vers l'IA, comprimant l'offre DRAM grand public jusqu'en 2027 au moins.

ESET Research : rôle technique dans la neutralisation des botnets Amadey et Stealc (MaaS)

Trois ans de suivi continu, des systèmes automatisés d'extraction d'artefacts et un partage structuré d'IoC : la contribution d'ESET au démantèlement d'Amadey et Stealc illustre le rôle pivot du renseignement sur les menaces dans les opérations de takedown coordonnées.

Galaxy Watch 9 et Ultra 2 : ce que les fuites techniques révèlent avant l’Unpacked de juillet

Snapdragon Wear Elite 3 nm, batterie 800 mAh sur l'Ultra 2, design anguleux : voici ce que les fuites révèlent sur les prochaines Galaxy Watch de Samsung.

Design computationnel chez Samsung : IA, jumeaux numériques et robots au service des wearables

Plus de 10 000 simulations IA, des centaines de millions de données anatomiques mondiales : voici comment Samsung a repensé le design des Galaxy Buds4 Series grâce au computational design.

Articles connexes

Catégories populaires