24.07.2025
1 хв
537
Новий Linux-шкідник Koske, розроблений з використанням штучного інтелекту або автоматизованих фреймворків, ховається у нібито безпечних зображеннях панд, які завантажуються з легітимних хостингів. Малвар запускається напряму з памʼяті, створює rootkit і майнить 18 криптовалют, включно з Monero і Ravencoin, використовуючи процесор та відеокарту зараженого пристрою.
Аналітики з AquaSec виявили, що Koske ламає відкриті інстанси JupyterLab, після чого завантажує два .JPEG-файли з милими пандами. Вони на вигляд — звичайні картинки, але насправді є поліглот-файлами, які розпізнаються як зображення або скрипти залежно від того, чим їх відкривають. Замість стеганографії, атака використовує подвійний формат, коли JPEG-файл містить і картинку, і шкідливий код у хвості файлу.
Один файл містить C-код, що компілюється у памʼяті й виконується як .so-модуль rootkitʼу, який ховає шкідливі процеси та файли. Інший файл містить bash–скрипт, який також виконується в оперативній пам’яті та створює персистентність через cron та systemd-сервіси. Він змінює мережеві налаштування, блокує зміни DNS, скидає iptables, обходить проксі та запускає брутфорс перевірку доступних проксі.
Після закріплення на системі, скрипт оцінює ресурси пристрою (CPU, GPU), завантажує відповідний майнер із GitHub та запускає його в оптимальному режимі. У разі збою пулу або монети Koske автоматично перемикається на резервні варіанти.
Koske виявили за IP-адресами із Сербії, у скриптах було знайдено сербські фрази, а репозиторії на GitHub містили словацькі коментарі, але дослідники не змогли чітко ідентифікувати автора. Метод розробки, адаптивна поведінка, автоматичний вибір криптомонет та скритність дозволяють припустити використання LLM або складної системи генерації коду. Малвар також використовує LD_PRELOAD для перехоплення функції readdir(), приховуючи всі сліди роботи.
Koske — це знаковий приклад нового покоління шкідливих програм, які маскуються під нешкідливі файли, використовують AI і повністю працюють у памʼяті. Його здатність до пристосування, непомітність та багаторівнева архітектура — виклик для будь-якої системи безпеки. Очікується, що майбутні версії будуть ще небезпечнішими, з реальним часом адаптації та самооновленням.
