Koske-Malware infiziert Linux über Panda-Bilder

Die neue Linux-Malware Koske tarnt sich als harmloses Panda-Bild und nutzt künstliche Intelligenz, um sich tief in Systemen einzunisten. Laut Sicherheitsexperten wurde Koske mithilfe von Sprachmodellen oder Automatisierungs-Frameworks entwickelt. Ziel ist der unbemerkte Einsatz von CPU- und GPU-Ressourcen zum Mining von Kryptowährungen.

Einstieg über JupyterLab-Schwachstellen

Koske nutzt falsch konfigurierte JupyterLab-Instanzen im Internet. Angreifer erhalten so Fernzugriff und laden zwei Panda-Bilder von legitimen Diensten wie OVH oder Postimage herunter. Hinter der süßen Fassade verbergen sich gefährliche Schadprogramme.

Keine Steganografie, sondern Polyglot-Dateien

Koske verwendet keine klassische Steganografie. Stattdessen nutzt die Malware sogenannte Polyglot-Dateien – gültig als Bild- und Skriptdateien zugleich. Je nach Anwendung erscheint das JPEG als Bild oder wird als Shell-Skript ausgeführt.

Die Bilder enthalten gültige JPEG-Header und zusätzlich schadhaften Code am Ende. So sehen Nutzer ein harmloses Bild, während im Hintergrund der Angriff beginnt.

Zwei parallele Schadfunktionen

Jedes Bild enthält eine eigene Schadfunktion:

• Ein C-basiertes Rootkit, das im Speicher kompiliert und als .so-Datei ausgeführt wird

• Ein Shell-Skript, das über Linux-Bordmittel direkt im Speicher läuft

Beide Funktionen arbeiten parallel, um die Kontrolle über das System zu sichern.

Tarnung durch Rootkit

Das Rootkit manipuliert LD_PRELOAD, um die Funktion readdir() zu überschreiben. Dadurch werden Dateien und Prozesse mit Namen wie koske oder hideproc versteckt. Versteckte PIDs werden aus /dev/shm/.hiddenpid gelesen.

Persistenz und Netzwerkanpassung

Das Shell-Skript richtet einen Cronjob ein, der alle 30 Minuten ausgeführt wird, sowie einen eigenen systemd-Dienst. Zur Tarnung wird die Netzwerkkonfiguration angepasst:

• DNS wird auf Cloudflare und Google gesetzt

• /etc/resolv.conf wird gesperrt mit chattr +i

• Firewallregeln (iptables) werden gelöscht

• Proxy-Umgebungsvariablen zurückgesetzt

• Verfügbare Proxys werden mit curl, wget und TCP geprüft

Intelligentes Kryptomining

Nach dem Infizieren prüft Koske CPU- und GPU-Leistung des Systems, um den effizientesten Miner auszuwählen. Unterstützt werden 18 Coins, darunter Monero, Ravencoin, Zano, Nexa und Tari.

Fällt ein Coin oder Mining-Pool aus, wechselt Koske automatisch zu einem Backup – ein Hinweis auf hohe Automatisierung.

Koske markiert eine neue Bedrohungsklasse

Koske kombiniert Speicher-Execution, Tarnung und KI-gestützte Entscheidungsfindung. Es steht exemplarisch für die nächste Generation von Malware – anpassungsfähig, schwer zu entdecken und gefährlich effizient.

ZENDATA bietet fortschrittliche Cybersecurity-Dienste, um genau solche Bedrohungen frühzeitig zu erkennen und Unternehmen resilient zu machen.

Lesen Sie den vollständigen Artikel von BleepingComputer hier.