Um novo malware Linux chamado Koske pode ter sido desenvolvido com o uso de inteligência artificial e está utilizando imagens JPEG aparentemente inofensivas de ursos panda para implantar malware diretamente na memória do sistema.
Pesquisadores da empresa de cibersegurança AquaSec analisaram o Koske e o descreveram como "uma ameaça Linux sofisticada".
Com base no comportamento adaptativo observado, os pesquisadores acreditam que o malware foi desenvolvido usando modelos de linguagem de grandes dimensões (LLMs) ou frameworks de automação.
O objetivo do Koske é implantar mineradores de criptomoedas otimizados para CPU e GPU que utilizam os recursos computacionais do host para minerar mais de 18 moedas distintas.
A AquaSec identificou endereços IP baseados na Sérvia usados nos ataques, frases em sérvio nos scripts e linguagem eslovaca no repositório do GitHub hospedando os mineradores, mas não pôde fazer uma atribuição confiante.
O acesso inicial é obtido por meio da exploração de misconfigurações de instâncias do JupyterLab expostas online para conseguir a execução de comandos.
Após obter uma posição inicial, o atacante baixa duas imagens .JPEG de ursos panda hospedadas em serviços legítimos como OVH images, freeimage e postimage.
No entanto, as imagens ocultam payloads maliciosos.
A AquaSec sublinha que o ator de ameaças não usou esteganografia para ocultar o malware dentro das imagens, mas confiou em arquivos políglotas, que são válidos em múltiplos formatos.
Nos ataques do Koske, o mesmo arquivo pode ser interpretado tanto como uma imagem quanto como um script, dependendo da aplicação que o abre ou processa.
Enquanto as fotos dos pandas contêm cabeçalhos de imagem válidos para o formato JPEG, elas também incluem scripts shell maliciosos e código C no final, permitindo que ambos os formatos sejam interpretados separadamente.
Um usuário ao abri-las verá um adorável urso panda, mas um intérprete de script executará o código shell anexado no final do arquivo.
Os ataques descobertos pela AquaSec ocultam um payload em cada imagem, ambas lançadas em paralelo.
“Um payload é código C escrito diretamente na memória, compilado e executado como um arquivo compartilhado .so que funciona como um rootkit,” explica a AquaSec.
A segunda é um script shell, também executado a partir da memória, que usa utilitários padrão do sistema para rodar de forma furtiva e manter persistência deixando poucos rastros visíveis.
O script shell é executado diretamente na memória abusando de utilitários nativos do Linux, estabelecendo persistência através de tarefas cron que são executadas a cada 30 minutos e serviços systemd personalizados.
Ele também realiza fortalecimento de rede e evasão de proxy, sobrescrevendo o /etc/resolv.conf para usar DNS da Cloudflare e Google, bloqueando-o com o comando chattr +i, limpando as iptables, reiniciando as variáveis de proxy e usando um módulo personalizado para força bruta em proxies funcionais via curl, wget e verificações TCP cruas.
Este tipo de adaptabilidade e comportamento levou os pesquisadores da AquaSec a suspeitar que o ator de ameaças desenvolveu o malware com a ajuda de um LLM ou uma plataforma de automação.
O rootkit baseado em C é compilado na memória e usa LD_PRELOAD para sobrescrever a função readdir(), escondendo processos, arquivos e diretórios relacionados ao malware de ferramentas de monitoramento do espaço do usuário.
O rootkit filtra entradas baseadas em strings como koske, hideproc, ou lendo PIDs ocultos de /dev/shm/.hiddenpid.
Após estabelecer acesso à rede e configurar a persistência, o script shell baixa mineradores de criptomoedas do GitHub.
Antes da implantação, a CPU e GPU do host são avaliadas para determinar qual minerador seria a escolha mais eficiente.
Koske suporta a mineração de 18 moedas diferentes, incluindo Monero, Ravencoin, Zano, Nexa e Tari, que são difíceis de rastrear.
Se uma moeda ou pool de mineração se torna indisponível, o malware automaticamente muda para um backup de sua lista interna, indicando um alto grau de automação e adaptabilidade.
A AquaSec adverte que, embora malwares alimentados por IA como o Koske já sejam preocupantes, futuras variantes podem alavancar adaptabilidade em tempo real, evoluindo para uma classe de ameaças muito mais perigosa.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...