Фахівці з кібербезпеки попереджають про появу нового шкідливого програмного забезпечення Koske, яке використовує згенеровані зображення панд для компрометації Linux-систем. Вірус поширюється через файли, знайдені на популярних платформах для обміну зображеннями, зокрема freeimage, postimage та OVH images, і поєднує в собі поліглот-файли, руткіти та адаптивну логіку для майнінгу криптовалют.
Про це розповідає ProIT
Інноваційні методи маскування та стійкості до виявлення
Однією з ключових особливостей Koske є використання поліглот-файлів — JPEG-ізображень, які водночас містять вбудовані shell-скрипти та C-код. Такі файли виглядають для користувача як звичайні милі картинки, але під час відкриття запускають шкідливі команди, що встановлюють майнери, оптимізовані для роботи як із процесорами, так і з відеокартами. Ці майнери спрямовані на видобуток 18 різних криптовалют, серед яких Monero, Ravencoin, Nexa, Tari, Zano та інші.
Зловмисники отримують доступ до системи через неавтентифікований або некоректно налаштований JupyterLab. Навіть у разі блокування з’єднання з інфраструктурою Command & Control (C2), Koske намагається відновити зв’язок, використовуючи різні способи: curl, wget, TCP-з’єднання, очищення iptables, зміну DNS, пошук нових проксі на GitHub, brute-force налаштування проксі.
Стійкість і автоматизація через ШІ
Вірус здатен динамічно перемикатися між майнінговими пулами або навіть змінювати криптовалюту у разі відключення одного з пулів. Для ускладнення виявлення Koske використовує руткіти, що приховують його файли, процеси й навіть саму присутність у системі. Додаткову стійкість забезпечують cron-завдання, зміни у файлах .bashrc і .bash_logout, а також створення власних systemd-сервісів. Модуль зв’язку здатен ідентифікувати проксі-сервери, що дозволяє зловмисникам залишатися анонімними у різних мережевих умовах. Дослідники відзначають, що модульна структура коду, якісні коментарі та захисні шаблони програмування свідчать про використання великих мовних моделей (LLM) при створенні Koske.
“Головна особливість Koske — використання поліглот-файлів, зокрема, JPEG-зображень панд, які виглядають нешкідливими для користувача, але містять вбудовані shell-скрипти та C-код”.
Відомо, що нещодавно понад 3 500 вебсайтів були інфіковані прихованими скриптами для майнінгу Monero (XMR). У цих випадках шкідливе ПЗ не займалося крадіжкою паролів чи блокуванням файлів, а перетворювало браузери відвідувачів заражених сайтів на інструмент для майнінгу Monero.
