Yapay Zeka Destekli Yeni Tehdit: PromptLock
Son zamanlarda siber güvenlik araştırmacıları, AI destekli ilk fidye yazılımı olan PromptLock‘u keşfetti. Bu yazılım, Windows, macOS ve Linux sistemleri üzerinde veri çalmak ve şifrelemek için Lua scriptleri kullanıyor. PromptLock, OpenAI’nin gpt-oss:20b modelini kullanarak zararlı Lua scriptlerini dinamik olarak oluşturmakta.
PromptLock’ın Çalışma Prensibi
ESET araştırmacılarına göre, PromptLock Golang dilleriyle yazılmıştır ve Ollama API’si üzerinden gpt-oss:20b büyük dil modeline erişmektedir. Bu model, uzak bir sunucuda barındırılmakta ve tehdit aktörleri proksi tüneli aracılığıyla bu sunucuya bağlanmaktadır.
Malware, modelin zararlı Lua scriptleri dinamik olarak oluşturması için hard-coded (sabit) istemlerle çalışmaktadır. Bu istemler, yerel dosya sisteminin envanteri, hedef dosyaların incelenmesi, veri sızdırma ve dosya şifreleme gibi işlemleri kapsamaktadır.
File Enumeration İşlevselliği
ESET tarafından yapılan araştırmalar, PromptLock’ın dosya envanteri ve hedef dosya inceleme gibi işlevler sunduğunu göstermektedir. Ancak, veri yok etme işlevselliği mevcut değildir.
Dosya şifrelemesi için PromptLock, hafif bir SPECK 128-bit algoritmasını kullanmaktadır ki bu da fidye yazılımları için oldukça alışılmadık bir tercihtir. SPECK algoritması, esas olarak RFID uygulamaları için uygun görülmektedir.
Şu Anlık Bir Demo
ESET, BleepingComputer’a verdiği bilgilerde PromptLock’ın henüz kendi gözetimlerinde görülmediğini, bunun yerine VirusTotal üzerinde keşfettiklerini belirtmiştir. Siber güvenlik şirketi, PromptLock’ın bir kanıt konsepti veya geliştirilme aşamasında bir yazılım olduğunu, yani aktif bir tehdit olmadığını düşünmektedir.
Bazı belirti ve ipuçları, PromptLock’ın gerçek bir tehditten ziyade bir kavram aracı olduğunu göstermektedir. Bu ipuçları arasında, kullanılan zayıf şifreleme algoritması (SPECK 128-bit), Satoshi Nakamoto’ya bağlı sabit bir Bitcoin adresi ve veri yok etme işlevinin henüz uygulanmamış olması bulunmaktadır.
ESET’ın PromptLock hakkındaki ayrıntıları yayımlamasının ardından, bir siber güvenlik araştırmacısı, malware’in onların projesi olduğunu ve bir şekilde sızdırıldığını iddia etti. Ancak PromptLock’ın varlığı, yapay zekaların kötü amaçlarla kullanabileceğini ve bununla birlikte çoklu platform yetenekleri, operasyonel esneklik ve siber suçlara katılımın önündeki engellerin azalması gibi durumları gösteriyor.
Önceki Olaylarla Karşılaştırma
Bu evrimin, Temmuz ayında Ukrayna’nın CERT (Siber Acil Durum Hizmeti) tarafından bildirilen LameHug malware keşfiyle daha belirgin hale geldiği görülmektedir. LameHug, Hugging Face API’si ve Alibaba’nın Qwen-2.5-Coder-32B gibi araçlar kullanarak Windows shell komutlarını anında üretmektedir. Bu malware’in, APT28 grubuna bağlı Rus hackerlar tarafından kullanıldığı düşünülmektedir.
LameHug, API çağrılarını kullanarak çalışmakta ve her iki uygulama da aynı pratik sonucu elde etmektedir, ancak PromptLock’ın yöntemi daha karmaşık ve riskli görünmektedir.
Siber Güvenlikte Gelişmeler
Siber güvenlik alanındaki bu tür gelişmeler, saldırı yüzeylerini genişletmekle kalmayıp, aynı zamanda saldırganların daha az teknik bilgiyle karmaşık saldırılar gerçekleştirmesine olanak tanımaktadır. Özellikle yeni jenerasyon yapay zeka modellerinin bu tür malware’lerde kullanılabiliyor olması büyük bir endişe kaynağı oluşturmaktadır.
Son dönemde yapılan bir araştırmaya göre, siber tehditlerin %46’sının, ortamlar üzerinde parolaların çalınmasıyla sonuçlandığı bildirilmiştir. Bu oran, geçen yıla göre neredeyse iki kat artmıştır.
Bu nedenle, organizasyonların siber güvenlik önlemlerini artırmaları ve olası tehditler karşısında daha hazırlıklı olmaları gerekmektedir. Veri sızıntısı, şifreleme ve önleme gibi konularda derinlemesine analiz ve strateji geliştirilmesi, bu tür yeni tehditlerle başa çıkmada kritik öneme sahiptir.
Gelecek dönemde, yapay zekanın siber suçlarla mücadelede nasıl bir rol oynayacağı ve bu tür malware türlerinin nasıl evrileceği üzerine yapılan çalışmalar önem kazanmaya devam edecektir.
