Recentemente, è emerso un nuovo malware per sistemi Linux che segna un punto di svolta significativo: Koske. Questo malware non solo sfrutta vulnerabilità note, ma sembra essere stato sviluppato con l’aiuto dell’intelligenza artificiale, rappresentando una minaccia sofisticata e adattabile.
L’infezione inizia con l’accesso a sistemi vulnerabili, spesso attraverso istanze mal configurate di JupyterLab esposte su Internet. Una volta ottenuto l’accesso, gli aggressori caricano due immagini JPEG di panda, apparentemente innocue, da piattaforme di hosting legittime come OVH Images, FreeImage e PostImage. Queste immagini, tuttavia, sono file poliglotti: contengono sia dati visivi che codice dannoso. Quando l’immagine viene visualizzata, l’utente vede un simpatico panda, ma in realtà, il sistema esegue in memoria uno script shell dannoso e un codice C che funge da rootkit.
Una delle caratteristiche distintive di Koske è la sua capacità di adattarsi alle risorse del sistema infetto. Il malware valuta le capacità della CPU e della GPU dell’host per selezionare il miner di criptovalute più adatto. Supporta il mining di oltre 18 diverse criptovalute, tra cui Monero, Ravencoin, Zano, Nexa e Tari. Se una valuta o un pool non è disponibile, Koske passa automaticamente a un’opzione di backup, dimostrando un elevato grado di automazione e flessibilità.
Koske utilizza una serie di tecniche per garantire la sua persistenza e per sfuggire alla rilevazione. Modifica file di configurazione come .bashrc e .bash_logout per eseguire script personalizzati all’avvio. Interagisce con il sistema modificando /etc/rc.local e creando servizi systemd personalizzati. Inoltre, pianifica attività periodiche e si assicura che le modifiche ai file di sistema siano protette da scritture non autorizzate.
Ciò che rende Koske particolarmente preoccupante è la sua probabile origine nell’intelligenza artificiale. Gli esperti ritengono che il malware sia stato sviluppato utilizzando modelli linguistici di grandi dimensioni (LLM) o framework di automazione. Il codice presenta commenti dettagliati, una struttura modulare e flussi logici ben progettati, caratteristiche tipiche di un software sviluppato con l’aiuto dell’IA. Questa progettazione avanzata non solo rende Koske più efficace, ma complica anche le attività di analisi e attribuzione, poiché il codice appare generico e privo di tracce distintive.