Un nouveau malware sophistiqué ciblant les systèmes Linux a été découvert : Koske. Ce programme malveillant dissimule son code dans des fichiers JPEG représentant des pandas mignons pour infecter directement la mémoire système. Selon les chercheurs, Koske aurait été développé à l’aide d’intelligence artificielle, notamment de modèles de langage avancés. Son objectif : exploiter les ressources des machines pour miner discrètement des cryptomonnaies.
Une infection via JupyterLab
L’accès initial repose sur la compromission d’instances JupyterLab mal configurées et exposées sur Internet. Une fois la commande à distance exécutée, l’attaquant télécharge deux images de panda hébergées sur des services fiables comme OVH images ou Postimage. En apparence inoffensives, ces images cachent en réalité des charges utiles malveillantes.
Pas de stéganographie, mais des fichiers polyglottes
Koske ne cache pas son code par stéganographie, mais en utilisant des fichiers polyglottes : valides à la fois comme image et comme script. Selon l’application utilisée pour les ouvrir, ces fichiers .JPEG agissent comme une photo ou comme un script shell.
Le fichier comporte un en-tête image standard, mais contient également du code shell ou C à la fin. Ainsi, un utilisateur voit un panda, tandis que le système exécute silencieusement le code malveillant.
Deux charges exécutées en parallèle
Chaque image transporte une charge spécifique :
-
Un rootkit en C, compilé directement en mémoire et exécuté comme fichier partagé
.so -
Un script shell, exécuté depuis la mémoire en utilisant des utilitaires Linux classiques
Ce duo permet d’établir une présence furtive et persistante sur la machine infectée.
Un rootkit furtif
Le rootkit abuse de LD_PRELOAD pour redéfinir la fonction readdir(), masquant ainsi fichiers, processus et dossiers contenant des mots-clés comme koske ou hideproc. Il peut également exclure des PID listés dans /dev/shm/.hiddenpid.
Persistance et évasion réseau
Le script shell active une tâche cron toutes les 30 minutes et crée un service systemd personnalisé. Il modifie aussi la configuration réseau pour éviter toute détection :
-
Remplace
/etc/resolv.confpar les DNS Cloudflare et Google -
Verrouille le fichier via
chattr +i -
Vide les règles iptables
-
Réinitialise les proxys système
-
Tente des proxys fonctionnels via
curl,wgetet TCP brut
Cryptominage intelligent
Une fois en place, Koske analyse les performances CPU/GPU de l’hôte pour sélectionner le mineur le plus adapté parmi 18 cryptomonnaies, dont Monero, Ravencoin, Zano, Nexa et Tari.
Si un pool ou une monnaie devient inaccessible, Koske bascule automatiquement vers un plan B, prouvant une automatisation poussée.
Une nouvelle ère du malware
Koske combine exécution en mémoire, adaptabilité, furtivité et IA. Cette nouvelle génération de malware est conçue pour évoluer rapidement, échapper aux outils classiques et exploiter chaque ressource disponible.
Les menaces IA exigent une cybersécurité de haut niveau. ZENDATA propose des services avancés capables de détecter ces menaces furtives, protéger vos infrastructures, et assurer une résilience continue.
Découvrez l’article complet de BleepingComputer ici.
