IDA Project
IDA Project
Malware

เตือนภัย PromptLock แรนซัมแวร์ AI ตัวแรก ใช้ Local LLM เขียนโค้ดโจมตีเครื่องเหยื่อ

Date Post
29.08.2025
Post Views
22

ESET บริษัทชั้นนำด้าน ‘Cybersecurity’ ค้นพบ ‘PromptLock’ มัลแวร์เรียกค่าไถ่ (Ransomware) สายพันธุ์ใหม่ ซึ่งเชื่อว่าเป็น Malware ตัวแรกของโลกที่ใช้ประโยชน์จากโมเดล AI ที่ทำงานบนเครื่องคอมพิวเตอร์ของเหยื่อโดยตรงในการสร้างโค้ดเพื่อโจมตีเครื่องเหยื่อเอง แม้ปัจจุบันจะยังเป็นเพียง Malware ต้นแบบ แต่ก็นับเป็นวิวัฒนาการของภัยคุกคามที่น่ากังวลและอาจเปลี่ยนโฉมหน้าการรักษาความปลอดภัยในอนาคต

ทีมวิจัยของ ESET เปิดเผยว่า Ransomware ตัวใหม่ซึ่งทีมวิจัยตั้งชื่อว่า ‘PromptLock’ มีความสามารถพิเศษที่ไม่เคยปรากฏมาก่อน นั่นคือการใช้โมเดล gpt-oss:20b ของ OpenAI ที่ทำงานแบบออฟไลน์ผ่าน Ollama API เพื่อสร้างสคริปต์สำหรับโจมตีขึ้นมาเองแบบทันทีทันใดบนเครื่องของเหยื่อ

PromptLock ซึ่งถูกพัฒนาด้วยภาษา Golang และมีเวอร์ชันสำหรับทั้งระบบปฏิบัติการ Windows และ Linux แตกต่างจากแรนซัมแวร์ทั่วไปอย่างสิ้นเชิง โดยแทนที่จะมีชุดคำสั่งการโจมตีที่ตายตัวมาตั้งแต่ต้น มันกลับใช้ Prompt หรือชุดคำสั่งสำหรับ AI ไว้ และจะสั่งการให้โมเดล AI ที่ทำงานอยู่ในเครื่องของเหยื่อ (Local LLM) ทำหน้าที่เป็นผู้สร้างโค้ดภาษา Lua เพื่อดำเนินแผนการร้ายต่าง ๆ เช่น

  • สำรวจข้อมูลระบบ: สั่งให้ AI สร้างโค้ดเพื่อเก็บข้อมูลสำคัญของเครื่องเหยื่อ เช่น ชื่อระบบปฏิบัติการ ชื่อผู้ใช้ ชื่อคอมพิวเตอร์ โดยเน้นให้ทำงานได้บนหลายแพลตฟอร์มทั้ง Windows, Linux และ macOS
  • ตรวจสอบไฟล์: สั่งให้ AI สแกนไฟล์บนเครื่องเหยื่อเพื่อหาข้อมูลส่วนตัวหรือข้อมูลที่มีความอ่อนไหว
  • เข้ารหัสและขโมยข้อมูล: เมื่อเจอไฟล์เป้าหมาย สคริปต์ที่ AI สร้างขึ้นก็จะทำการลักลอบส่งข้อมูลออกไปภายนอก ก่อนจะลงมือเข้ารหัสไฟล์เพื่อเรียกค่าไถ่

การเลือกใช้ภาษา Lua ในการพัฒนา PromptLock นั้น ก็เนื่องจากเป็นภาษาขนาดเล็กที่สามารถฝังตัวได้ ทำให้สคริปต์ที่ถูกสร้างขึ้นสามารถทำงานข้ามระบบปฏิบัติการได้อย่างราบรื่น เป็นการขยายขอบเขตการโจมตีให้กว้างที่สุดเท่าที่จะทำได้ ส่วนการเข้ารหัสนั้น PromptLock ใช้อัลกอริทึม SPECK 128-bit ซึ่งเป็นอัลกอริทึมขนาดเล็กที่เหมาะกับรูปแบบการโจมตีลักษณะนี้

ข้อสังเกตอีกประการหนึ่งคือ มีการค้นพบที่อยู่บิตคอยน์ (Bitcoin Address) ที่คาดว่าเป็นของซาโตชิ นากาโมโตะ นามแฝงของผู้สร้างบิตคอยน์อยู่ภายใน Prompt แม้ที่อยู่นี้อาจจะเป็นเพียงข้อมูลหลอก ๆ หรือใช้เป็นตัวอย่าง (Placeholder) แต่ก็ถือเป็นจุดที่น่าสังเกตสำหรับมัลแวร์ที่ยังอยู่ในช่วงเริ่มต้นนี้

ทั้งนี้ แม้ PromptLock จะยังอยู่ในช่วงเริ่มต้นของการพัฒนา (Proof-of-Concept หรือ PoC) และยังไม่มีรายงานการนำไปใช้โจมตีจริง แต่นักวิจัย ESET เชื่อว่า การค้นพบครั้งนี้เป็นสัญญาณเตือนที่แสดงให้เห็นถึงทิศทางใหม่ที่น่ากังวลของมัลแวร์ในอนาคต ซึ่งเหล่าผู้ไม่หวังดีกำลังนำเทคโนโลยีโมเดลภาษาขนาดใหญ่ (Large Language Model หรือ LLM) ที่อยู่ภายในเครื่องเหยื่อ มาประยุกต์ใช้เพื่อสร้างมัลแวร์ที่ซับซ้อนและยากต่อการตรวจจับยิ่งขึ้น

ที่มาข่าว:
Infoquest

Logo-Company
Logo-Company
Logo-Company
logo-company
Thossathip Soonsarthorn
"Judge a man by his questions rather than his answers" Voltaire