Detecção do Malware Koske: Nova Ameaça Linux Gerada por IA em Atividade
Índice:
Os atacantes estão explorando cada vez mais a inteligência artificial (IA) para comprometer ativos empresariais críticos, sinalizando uma perigosa evolução no cenário de ameaças. O AI Security Report 2025 da Check Point Research destaca como os agentes de ameaças utilizam a IA para falsificação com deepfakes, criação automatizada de malware, LLMs comprometidos e campanhas de desinformação generativa. Após campanhas envolvendo iscas de IA para disseminar os malwares CyberLock, Lucky_Gh0$t e Numero, especialistas em cibersegurança identificaram agora uma nova ameaça baseada em IA. Batizado de Koske, este malware sofisticado parece ter sido amplamente auxiliado pela inteligência artificial em seu desenvolvimento, ressaltando a crescente militarização da IA nos ciberataques modernos.
Detectar ataques do malware Koske
De acordo com a pesquisa da Netacea, 93% das empresas acreditam que enfrentarão ataques impulsionados por IA diariamente no próximo ano. O Splunk State of Security 2025 Report revela ainda que líderes de segurança observam que agentes maliciosos estão usando IA generativa para aumentar a eficácia dos ataques existentes (32%), ampliar seu volume (28%), criar novos métodos de ataque (23%) e realizar reconhecimento (17%). Esses dados ressaltam o crescente potencial da IA como ferramenta ofensiva, com mais variantes maliciosas, como o malware Koske, previstas para surgir.
Registre-se na plataforma SOC Prime para aproveitar as capacidades defensivas da IA e detectar ataques do malware Koske em seus estágios iniciais. A plataforma oferece inteligência de ameaças atualizada e conteúdo de detecção acionável, respaldada por um conjunto completo de produtos para engenharia de detecção baseada em IA, caça automatizada de ameaças e detecção avançada. Clique no botão Explorar Detecções abaixo para acessar a coleção de regras especialmente projetadas para identificar e responder à atividade do malware Koske ou utilize a tag “Koske” no Threat Detection Marketplace.
Todas as detecções são compatíveis com múltiplas soluções SIEM, EDR e Data Lake, e estão mapeadas para o framework MITRE ATT&CK®. Além disso, cada regra contém metadados detalhados, referências de inteligência de ameaças, cronologia de ataques, recomendações de triagem e muito mais.
Além disso, os especialistas em segurança podem agilizar a investigação de ameaças usando o Uncoder AI, um IDE privado e copiloto para engenharia de detecção informada por ameaças. Gere algoritmos de detecção a partir de relatórios brutos, habilite varreduras rápidas de IOCs, preveja tags ATT&CK, otimize códigos de consultas com dicas baseadas em IA e traduza-os entre vários idiomas SIEM, EDR e Data Lake. Por exemplo, os profissionais podem usar os detalhes da pesquisa da Aqua Nautilus para gerar um Attack Flow v3 com a funcionalidade aprimorada do Uncoder AI, utilizando MITRE ATT&CK® v17.1 com tecnologia RAG.
Análise do Malware Koske para Linux
A IA está conduzindo uma nova onda de ciberameaças, à medida que atacantes a utilizam para refinar e escalar massivamente suas táticas. Ao mesmo tempo, a IA se torna um pilar das estratégias de defesa modernas. O futuro da cibersegurança será moldado pela eficácia com que a IA se integra a outras tecnologias emergentes. No entanto, os agentes de ameaças continuam inovando, encontrando novas maneiras de explorar a IA em benefício próprio.
Os pesquisadores da Aqua Nautilus descobriram recentemente uma campanha adversária usando uma ameaça avançada em Linux com sofisticadas técnicas de evasão, marcando essa evolução preocupante. Koske é um novo malware gerado por IA para Linux, projetado para operações de criptomineração. Suas capacidades adaptativas sugerem desenvolvimento com LLMs ou frameworks de automação. O malware instala mineradores otimizados para CPU e GPU, explorando sistemas infectados para minerar mais de 18 criptomoedas. Com payloads modulares, rootkits furtivos e distribuição por meio de arquivos de imagem armados, Koske exemplifica uma nova geração de malware persistente e altamente adaptável. Os pesquisadores observaram sua entrega através de ambientes JupyterLab mal configurados.
A cadeia de infecção começa com a exploração de um servidor JupyterLab mal configurado, permitindo que os atacantes instalem backdoors e baixem duas imagens JPEG de URLs encurtadas. Esses arquivos poliglotas contêm payloads maliciosos anexados ao final, que são executados diretamente na memória, evitando a detecção antivírus. Um é código C compilado em um rootkit, e o outro é um script shell que opera de forma furtiva utilizando utilitários do sistema para manter a persistência.
O acesso inicial provém de um IP sérvio (178.220.112.53). Uma vez dentro, os atacantes usam técnicas de evasão e persistência potencializadas por IA, incluindo sequestro de configurações de shell ao modificar .bashrc e .bash_logout para chamar um script personalizado, manipulação do boot do sistema via /etc/rc.local e serviços systemd personalizados, além de tarefas agendadas no cron. Os payloads são ocultados em imagens de uso duplo hospedadas em plataformas legítimas. Os arquivos poliglotas utilizam imagens JPEG de pandas como isca, com shellcode malicioso anexado aos dados da imagem, tornando sua detecção extremamente difícil.
Um payload secundário, extraído de uma imagem de panda, contém código C bruto para um rootkit em espaço de usuário que sequestra a função readdir() via LD_PRELOAD. Este rootkit oculta arquivos, diretórios e processos filtrando entradas com base em nomes específicos, usando um PID armazenado em /dev/shm/.hiddenpid. Ao interceptar listagens de ferramentas como ls, ps ou top, torna invisíveis os componentes maliciosos. Carregado via LD_PRELOAD ou /etc/ld.so.preload, garante persistência furtiva e evita análises forenses.
Koske manipula agressivamente as configurações de rede, redefinindo variáveis proxy, limpando regras de iptables, forçando DNS da Cloudflare/Google e bloqueando alterações com chattr +i, garantindo comunicação C2 ininterrupta e burlando defesas de DNS. O malware suporta 18 criptomoedas, implantando mineradores otimizados para CPU/GPU com base na detecção de hardware e alternando automaticamente para outras moedas ou pools caso uma falhe.
Os comentários verbosos do script, a lógica modular de boas práticas e a sintaxe ofuscada em sérvio sugerem desenvolvimento assistido por LLM, projetado para parecer genérico e dificultar a atribuição ou análise. Como medidas de mitigação, recomenda-se monitorar modificações não autorizadas no bash, reescritas de DNS, novos serviços systemd e picos anormais de uso de GPU/CPU. Além disso, implementar proteção de contêineres para bloquear payloads poliglotas, prevenir injeções de rootkits ocultos e fortalecer a segurança de rede pode ajudar a proteger a infraestrutura contra ataques do Koske. Por fim, equipes de segurança devem aplicar detecção de anomalias baseada em IA para identificar scripts com características de LLM, como comentários extensos e estruturas modulares.
Koske marca um marco preocupante na evolução do malware como ameaça automatizada, furtiva, persistente e potencializada por IA. Para acompanhar essa corrida armamentista, as organizações devem adotar medidas de segurança contextuais e baseadas em comportamento para proteger ambientes Linux modernos. A SOC Prime oferece um conjunto completo de produtos que combina expertise em IA, automação, inteligência de ameaças em tempo real e capacidades avançadas para ajudar as organizações a se manterem à frente de ataques cibernéticos sofisticados.
