Koske是一种由AI生成的Linux恶意软件,用于加密货币挖矿。它利用rootkit和多格式文件隐藏自身,逃避检测。专家警告称,这种高级威胁标志着网络安全的新阶段,传统防御措施已不足以应对。 2025-7-28 19:1:53 Author: www.cybersecurity360.it(查看原文) 阅读量:12 收藏
Nel panorama delle minacce, ha fatto il suo ingresso Koske, il nuovo malware Linux generato dall’AI.
“Il malware Koske rappresenta una nuova minaccia per i sistemi Linux, progettato per attività di cryptomining, mostra caratteristiche avanzate di evasione e persistenza mediante componenti rootkit”, commenta Pierluigi Paganini, analista di cyber security e Ceo Cybhorus.
Ecco come proteggersi da un malware che “rappresenta una svolta preoccupante nell’evoluzione delle minacce informatiche, in particolare per l’ambiente Linux, storicamente percepito come più sicuro rispetto ad altri sistemi operativi”, secondo Riccardo Michetti, Cyber Threat Intelligence Manager per Maticmind.
Ma non dobbiamo rischiare “di fissarci sull’oggetto – il singolo malware – perdendo di vista il processo che lo ha creato, che è la vera, profonda rivoluzione in atto nel panorama della cybersicurezza”, nell’era del vibe coding, secondo Riccardo Paglia, Go To Market Manager per Maticmind.
Koske, malware Linux generato dall’intelligenza artificiale
Koske è un nuovo malware Linux generato dall’intelligenza artificiale sviluppato per attività di cryptomining. Il malware Koske supporta infatti il mining di 18 criptovalute, selezionando miner ottimizzati per CPU o GPU in base all’hardware dell’host infetto. Passa automaticamente da una moneta o da un pool all’altro in caso di fallimento, prendendo di mira asset come Monero, Ravencoin, Zano, Nexa e Tari.
I ricercatori di Aquasec hanno riferito che il codice dannoso utilizza rootkit e file immagine poliglotti per eludere il rilevamento.
“Questa sofisticazione riduce drasticamente l’efficacia degli strumenti tradizionali di rilevamento statico e comportamentale, aumentando la resilienza contro le contromisure”, avverte Martina Fonzo.
“L’uso di immagini polyglot per mascherare codice malevolo e l’esecuzione interamente in memoria rendono le tecniche tradizionali di rilevamento inefficaci”, conferma Annalisa Cocco, Senior Cybersecurity Advisor per Maticmind.
Gli aggressori sfruttano un server configurato in modo errato per inserire backdoor e scaricare due file JPEG poliglotti tramite URL abbreviati. Le immagini sono file poliglotti che nascondono codice malevolo aggiunto al termine ed eseguono direttamente nella memoria per eludere il rilevamento antivirus.
“In un contesto dove persino un’immagine può contenere codice eseguibile, è fondamentale che tutto il personale sviluppi una awareness continua e aggiornata, capace di riconoscere pattern anomali e rischi emergenti”, evidenzia
Annalisa Cocco.
Uno è un codice C compilato in un file .so rootkit; l’altro è invece uno script shell invisibile che sfrutta strumenti di sistema standard per persistere senza lasciare tracce visibili.
I dettagli
“La distribuzione dei payload principali e secondari avviene tramite file immagine a doppio uso. Gli autori delle minacce aggiungono script shell dannosi a file immagine legittimi (per esempio immagini di orsi panda), che vengono nascosti all’interno delle immagini e conservati su piattaforme di archiviazione immagini legittime e gratuite (freeimage, postimage e OVH images)”, si legge nel rapporto di Aquasec.
“Questa tecnica non è steganografia, ma piuttosto abuso di file poliglotti o incorporamento di file dannosi. La tecnica infatti utilizza un file JPG valido con codice shell dannoso nascosto alla fine. Solo gli ultimi byte vengono scaricati ed eseguiti, rendendola una forma subdola di abuso poliglotta. Si tratta di un file a doppio uso che elude il rilevamento mescolando i dati dell’immagine con payload eseguibili. I primi X byte sono l’immagine stessa, mentre l’ultima parte del file è un codice shell destinato all’esecuzione dopo la consegna del payload principale al sistema di destinazione”.
L’assistenza della Gen AI
“A preoccupare tuttavia è la probabile origine: un codice sviluppato con l’assistenza di intelligenza artificiale, evidenziata da strutture modulari, commenti ben scritti e comportamenti adattivi“, avverte Paganini.
Infatti, “identificato da Aqua Security, Koske è un miner di criptovalute sofisticato e silenzioso, progettato con l’evidente supporto di strumenti di GenAI. Questo aspetto, più di ogni altro, merita una riflessione strategica da parte di chi si occupa di Threat Intelligence e difesa cyber”, continua Michetti.
Infatti assistiamo, secondo Martina Fonzo, Responsabile Market Intelligence per Maticmind, a “un’evoluzione significativa nel panorama malware, caratterizzato da capacità AI-driven di adattamento dinamico alle risorse hardware e persistente evasione tramite tecniche fileless e polyglot execution in memoria”.
Lo sviluppo generato dall’AI
Gli aggressori hanno ottenuto l’accesso tramite un’istanza JupyterLab configurata in modo errato, quindi hanno garantito la persistenza dirottando le configurazioni della shell e i processi di avvio per eseguire script invisibili.
“I server JupyterLab mal configurati sono spesso esposti su Internet senza autenticazione. Una volta ottenuto l’accesso, scarica immagini apparentemente innocue, come file JPEG raffiguranti panda, che in realtà sono file polyglot: immagini contenenti codice eseguibile nascosto. Questo codice viene poi eseguito direttamente in memoria, eludendo i tradizionali antivirus basati su scansioni su disco. Il malware stabilisce la persistenza tramite una combinazione di tecniche come modifica dei file .bashrc, creazione di job cron, servizi systemd, e injection di rootkit in user space sfruttando la funzione readdir() usando il meccanismo di LD_Preload per nascondere file e processi. L’intero framework è progettato per garantire resilienza e silenziosità, qualità oggi fondamentali per le operazioni cyber‑criminali che puntano a monetizzare l’accesso ai sistemi piuttosto che danneggiarli esclusivamente”, evidenzia Michetti.
Il vibe coding
“Il punto non è semplicemente che un’AI possa scrivere codice malevolo”, spiega Riccardo Paglia: “La vera svolta è la democratizzazione e l’accelerazione della minaccia. Stiamo entrando nell’era del cosiddetto vibe coding: la capacità di tradurre un’intenzione, un’idea espressa in linguaggio naturale, in codice funzionante. Questa è una tecnologia dal potenziale immenso per l’innovazione, ma è intrinsecamente a doppio taglio. Lo stesso strumento che permette a uno sviluppatore di creare un’app complessa descrivendone il “vibe”, permette a un malintenzionato di generare un’arma informatica descrivendone l’attacco. La barriera all’ingresso nel mondo del cybercrime non è più la competenza tecnica nella programmazione, ma l’abilità nel formulare la richiesta giusta a un’AI“.
Un confronto storico
“Per comprendere la gravità di questo passaggio”, continua Paglia, “è utile un’analogia storica: l’evoluzione dal cryptomining al ransomware. Anni fa, le infezioni da cryptominer erano viste come un fastidio. In realtà, erano una fase di ricognizione a basso rischio: un modo per testare le difese, stabilire una testa di ponte e monetizzare un asset compromesso senza dare nell’occhio. Una volta confermata la vulnerabilità, quella stessa porta veniva usata per l’attacco finale e devastante: il ransomware“.
Malware Ai-powered come Koske è il nuovo cryptominer
“Oggi, il malware generato dall’AI sta assumendo il ruolo del ‘nuovo cryptominer’, ma su una scala esponenziale. Un aggressore può usarlo per:
Generare migliaia di varianti uniche di malware per testare in modo massivo e automatizzato le difese globali, imparando in tempo reale cosa funziona e cosa no”, prosegue Paglia: “Identificare i sistemi vulnerabili non con un’unica infezione, ma con uno sciame di “sonde” intelligenti. L’escalation, il ‘nuovo ransomware’, sarà un attacco di seconda fase, costruito su misura dall’AI sulla base dei dati raccolti. Un malware perfettamente adattato per colpire un bersaglio specifico, le cui difese sono già state mappate e superate nella fase di ricognizione. Si tratta di un ciclo evolutivo della minaccia, auto-apprendente e incredibilmente veloce”.
Per questo motivo, “Koske, quindi, non è il mostro finale. È il primo segnale di un’era in cui la velocità, la scala e l’adattabilità degli attacchi supereranno di gran lunga le capacità delle strategie di difesa tradizionali. La nostra risposta non può essere incrementale; deve essere un ripensamento fondamentale del nostro approccio alla sicurezza“, suggerisce Paglia.
Steganografia, dual use e file poliglotta nell’era del malware Koske
“Dietro ai nuovi acronimi e buzzword che dominano il panorama della cybersecurity moderna si celano, in realtà, tecniche antiche: modalità di offuscamento, dissimulazione e mascheramento già presenti da secoli anche in ambiti non informatici. L’arte di nascondere un messaggio in un contesto apparentemente innocuo – concetto alla base di tecniche come la steganografia, i file poliglotta o l’approccio dual-use – non è una novità. È solo il mezzo ad essere cambiato: oggi, al posto dell’inchiostro invisibile, si usano i bit.
Queste tecniche sfruttano formati apparentemente legittimi (immagini, file audio, documenti) per mascherare codici malevoli, rendendone difficile l’individuazione e l’analisi”, avvisa Giovanni Del Panta, Responsabile Cybersecurity Architects per Maticmind.
Definizione e caratteristiche
Nel contesto cyber, un file dual-use ha un aspetto legittimo, ma funzionalità malevole nascoste. Tipico il caso di immagini che contengono in coda script bash, shellcode o payload compilati, come nel caso del malware Koske.
I metodi più diffusi per prevedono l’utilizzo di Polyglot Files.
Un file poliglotta è progettato per essere interpretabile come due formati diversi contemporaneamente. Ad esempio, un file che è allo stesso tempo una JPEG e uno script shell. Questa tecnica viene utilizzata per evadere i controlli di sicurezza, poiché lo scanner potrebbe vedere solo l’immagine, ignorando il codice eseguibile nascosto.
A differenza dei poliglotta, la steganografia non si limita ad “accodare” codice, ma nasconde i dati all’interno del contenuto stesso del file, modificando i bit meno significativi (LSB) dei pixel o dei sample audio, senza alterare l’aspetto esteriore del file.
Perché la steganografia è spesso più difficile da “rilevare”
“In ambito difensivo, la steganografia rappresenta una sfida particolarmente insidiosa”, secondo Del Panta:
- nessun codice eseguibile evidente: il malware è nascosto nei dati, non come parte del flusso binario eseguibile.
- download apparentemente innocuo: l’immagine sembra legittima, non genera allarmi.
- necessità di analisi forense specializzata: è richiesto un contesto sospetto per giustificare un’analisi approfondita.
- assenza di firme statiche: le signature AV tradizionali non riescono a intercettare contenuti offuscati o criptati all’interno dell’immagine.
Tuttavia, ciò non significa che sia sempre più difficile da contrastare. Se viene identificato il metodo di embedding, per esempio tramite pattern noti come LSB o tool come steghide, è possibile sviluppare rilevatori automatici su larga scala, basati su euristiche, entropia o pattern di anomalia”.
La capacità adattiva di Koske
Koske mostra un comportamento simile all’intelligenza artificiale nel suo modulo di connettività, utilizzando diversi metodi per testare l’accesso a GitHub, risolvendo i problemi tramite il ripristino del DNS e dei proxy e forzando dinamicamente i proxy funzionanti.
“Ciò che rende Koske davvero critico è la sua struttura e il comportamento, fortemente indicativi di una generazione tramite LLM. Il codice è ben scritto, modularizzato, con commenti chiari e strategie di fallback per ogni fase operativa. Il malware è in grado di adattarsi all’ambiente in cui si trova, verificando per esempio la connettività con diversi strumenti (curl, wget, TCP raw) e tentando automaticamente il ripristino della connessione agendo su iptables, DNS e proxy. Si comporta quasi come un agente autonomo, riducendo al minimo l’intervento dell’attaccante.
Questa capacità di adattamento e automazione è la vera forza di Koske, e al tempo stesso la sua più grande minaccia”, sottolinea Michetti.
Questa strategia adattiva e automatizzata suggerisce uno sviluppo assistito dall’intelligenza artificiale.
“Questo segna un’evoluzione pericolosa: l’uso dell’AI non solo potrebbe migliorare sensibilmente la qualità del malware, ma gli conferisce capacità di adattamento dinamico”, mette in guardia Paganini.
L’uso di LLM
“Diversi componenti dello script suggeriscono il coinvolgimento di LLM:
- commenti dettagliati e ben strutturati e modularità;
- flusso logico basato sulle migliori pratiche con abitudini di scripting difensive;
- autorialità offuscata utilizzando frasi serbe e sintassi neutralizzata.
“Questo codice potrebbe essere stato progettato per apparire “generico”, rendendo difficile l’attribuzione e l’analisi”, continua il rapporto.
Inoltre, “il processo di sviluppo dei codici malevoli coadiuvato dall’utilizzo di sistemi di AI generativa, è notevolmente più efficace“, aggiunge Paganini.
“L’intelligenza artificiale è ormai sempre più utilizzata dagli attaccanti per sviluppare codice più efficiente, evasivo e resistente. Stiamo assistendo alla nascita di una nuova categoria di malware, quella ‘AI-powered’, in cui il ciclo di sviluppo, adattamento e diffusione è accelerato e automatizzato”, avverte Michetti.
“Di fronte a questo cambio di paradigma, le nostre contromisure devono evolvere radicalmente”, avverte Paglia.
Il caso Koske
Il nuovo malware Koske, recentemente analizzato da Aquasec, sfrutta esattamente queste tecniche:
- utilizza immagini JPEG dual-use contenenti rootkit .so compilati o script bash furtivi.
- le immagini sono caricate su piattaforme legittime di image hosting (es. Freeimage, Postimage, OVH), per sfruttare la fiducia dei sistemi verso fonti non sospette.
- solo i byte finali delle immagini vengono scaricati ed eseguiti, eludendo gran parte delle protezioni basate su signature o analisi comportamentale.
- il caricamento in memoria (memory-only execution) rende ancora più difficile il tracciamento e la rimozione.
Questa forma di attacco non si basa sulla steganografia pura, ma su file poliglotta, eppure dimostra quanto sottile sia il confine tra le tecniche e come spesso vengano combinati più approcci per massimizzare l’evasione”, spiega Del Panta.
“L’efficacia di queste tecniche è proporzionale alla loro capacità di nascondersi e alla difficoltà della decodifica. I moderni strumenti cibernetici, spesso potenziati da AI e machine learning, amplificano questa capacità in modo esponenziale, ponendo nuove sfide alla difesa”, avverte il responsabile Cybersecurity Architects per Maticmind.
Come proteggersi da Koske
AquaSec ha trovato indirizzi IP serbi, frasi in serbo e lingua slovacca nel repository GitHub dei miner, ma non è riuscita ad attribuire con certezza gli attacchi.
“Senza tecnologie difensive AI-driven, contrastare queste minacce sarà sempre più difficile. Attori nation-state e gruppi dediti al cybercrime sono estremamente interessati all’evoluzione di questa tecnologie ed ai suoi possibili impieghi”, sottolinea Paganini.
Le difese devono quindi spostarsi verso un approccio più proattivo e comportamentale.
“Questa minaccia sottolinea anche un punto critico: la sicurezza tecnica non è sufficiente se non è accompagnata da una solida cultura della cyber security. Aggiornare i sistemi è solo una parte della difesa: oggi bisogna aggiornare anche il modo in cui pensiamo la sicurezza. L’AI sta cambiando le regole del gioco, e solo un approccio dinamico, che unisce visibilità, formazione e capacità di risposta rapida, può offrire una protezione efficace contro minacce come Koske”, avverte Cocco.
“La difesa efficace non può più basarsi su signature statiche, ma deve:
- integrare analisi entropiche e semantiche dei file.
- utilizzare sandbox comportamentali in memoria.
- sfruttare AI per identificare pattern anomali anche in contenuti apparentemente legittimi.
In un mondo dove anche un’innocua immagine di un panda può nascondere un rootkit, la sicurezza deve diventare altrettanto ‘creativa’ quanto gli attaccanti”.”, conclude Giovanni Del Panta.
Serve un nuovo approccio Zero Trust
“I rischi futuri si focalizzano sulla crescente capacità dei malware di auto-ottimizzazione e orchestrazione autonoma in ambienti cloud e infrastrutture critiche, imponendo la necessità di implementare modelli di sicurezza avanzati basati su Zero Trust, monitoraggio comportamentale continuo e protezioni runtime per contrastare minacce altamente dinamiche e stealth”, evidenzia Martina Fonzo.
La categoria di malware, quella “AI-powered”, “muta radicalmente il paradigma difensivo, che non può più basarsi solo sulla detection tradizionale o sulla reattività manuale”, sottolinea Michetti.
“I team di sicurezza devono adottare un nuovo approccio in questo contesto. In primo luogo, occorre migliorare la visibilità in runtime, con strumenti in grado di intercettare anomalie comportamentali e attività sospette in memoria, non solo su disco. In secondo luogo, è fondamentale rafforzare le pratiche di hardening e configurazione sicura, evitando l’esposizione di ambienti come JupyterLab, in questo caso, su Internet senza adeguate protezioni. Ancora più importante, è necessario sviluppare strumenti difensivi altrettanto automatizzati, in grado di riconoscere pattern generati da AI, come la ripetitività nei commenti del codice e l’uso di strutture linguistiche sintetiche”.
Koske è un campanello d’allarme. “Dimostra infatti che l’intelligenza artificiale, pur offrendo enormi vantaggi, può essere sfruttata con la stessa efficacia anche per scopi malevoli. Non si tratta più di una possibilità teorica, ma di una realtà operativa. Chi sviluppa codice malevolo può oggi fare affidamento su strumenti che scrivono, ottimizzano e adattano il malware in modo automatico, rendendo l’attribuzione più difficile, la detection più fragile, e la risposta più lenta. Diventa quindi fondamentale investire oggi in nuove tecnologie e tecnice di detection e sicurezza predittiva in grado di rilevare queste nuove minacce basandosi sull’analisi comportamentale e sull’automazione difensiva consentendo ai team di difesa di adattarsi con la stessa rapidità”, conclude Riccardo Michetti.
Analisi comportamentale e difesa proattiva
“È imperativo accelerare la transizione verso:
- architetture Zero Trust: nessun attore, interno o esterno, è considerato attendibile per impostazione predefinita.
- analisi comportamentale (Behavioral Analysis): non si cerca più un malware noto, ma si monitora il comportamento anomalo dei processi e del traffico di rete, indipendentemente dal codice che lo origina.
- difesa proattiva: utilizzare tecnologie di “deception” (inganno), come honeypot e canary token, per individuare e studiare gli aggressori non appena mettono piede nella rete”, raccomanda Riccardo Paglia.
Non solo formazione
La formazione deve diventare più profonda. “Non basta più insegnare a riconoscere il phishing”, avvisa : “È infatti necessario formare gli sviluppatori a un ‘secure coding’ che tenga conto delle insidie del codice generato dall’AI. I team di sicurezza devono imparare a modellare queste nuove minacce (Threat Modeling). I dirigenti devono comprendere che il rischio strategico è mutato e richiede investimenti mirati.
Le Mmetodologie di sicurezza devono essere adattive. Le difese basate su firme statiche sono ormai obsolete”, conclude Riccardo Paglia.
Scenari futuri
“Sebbene l’uso dell’IA per generare codice migliore rappresenti già una sfida per i difensori, questo è solo l’inizio. Il vero punto di svolta è il malware basato sull’IA, ovvero un software malevolo che interagisce dinamicamente con i modelli di IA per adattare il proprio comportamento in tempo reale”, conclude il rapporto. “Questo tipo di capacità potrebbe segnare un salto di qualità nelle tattiche degli avversari, mettendo a serio rischio innumerevoli sistemi”.
“In un futuro, molto prossimo, potremo diventare spettatori inermi in una battaglia tra sistemi ‘intelligenti‘ in grado di adattare il proprio comportamento in base alla risposta del sistema bersaglio, e dall’altro lato sistemi di difesa con classificatori con capacità di detection dinamiche”, conferma Paganini.
如有侵权请联系:admin#unsafe.sh