Hakeri ugrađuju Ai-generirani zlonamjerni softver skriveni unutar naizgled benignih slika pande kako bi prikriveno oteli Linux strojevi za kriptominiranje, navodi Aqua Security. Skriveni kod izbjegava antivirusni softver i gotovo ne ostavlja trag.
Kampanja koristi “novu pasminu trajnog zlonamjernog softvera”, kombinirajući isporuku korisnog opterećenja temeljenog na slikama, skripte koje podržava AI i tehnike prikrivanja poput modula rootkita za održavanje dugoročne kontrole nad zaraženim sustavima.
Sadržaj objave
Zlonamjerni softver unutar nevinih slika Pande
Assaf Morag, direktor obavještajne službe za prijetnju u Aqua Nautilusu, identificirao zlonamjerni softver kao Koske – Modularna prijetnja namijenjena tiho u pozadini. Sposoban je za rudarstvo više kriptovaluta, prilagođavajući svoje ponašanje na temelju konfiguracije zaraženog sustava.
Zlonamjerni softver ugrađen je u Panda slike koje se nalaze na platformama za dijeljenje javnih slika. Te slike, iako naizgled bezopasne, sadrže ugrađeni kod koji inficira Linux sustave bez pokretanja tradicionalnih antivirusnih obrana.
Aqua istraživači pratili su infrastrukturu zapovjedništva i kontrole na srpsku IP adresu. Napadači su u početku dobili pristup izloženom instancom Jupyterlab-uobičajenom internetskom sučelju koje se koristi u tijelima znanosti i razvoja podataka.
Upozorenje na ono što dolazi
Jednom u sustavu, Koske se u potpunosti izvršava u memoriji, sastavljajući kod u letu, a ne da piše na disk. Ovo izvršenje u memoriji pomaže mu da izbjegne mnoge uobičajene mehanizme otkrivanja.
Drugi korisnik uključuje softver koji skriva procese i datoteke od prikaza ili rootkit. U ovom slučaju, on koristi LD_PRELOAD za otmicu funkcija sustava i učiniti zlonamjerni softver nevidljivim za osnovne alate za praćenje.
Dijelovi koda prikazuju uzorke tipične za scenarij koji generira AI. Istraživači Aqua primijetili su čistu strukturu, modularnu logiku i neutraliziranu sintaksu – koje su obilježje uključenosti velikog jezičnog modela (LLM).
Zlonamjerni softver izgrađen je za prilagodbu. Ako jedna veza ne uspije ili rudarski bazen padne, prebacuje se na drugu, koristeći javne proxy popise i dijagnostičke alate kako bi se zadržao bez prekida. Prema Moragu, “to je upozorenje o onome što slijedi.”
AI -ova rastuća uloga u cyber napadima
Koske je dio šireg trenda koji uključuje cyber prijetnje uz pomoć AI. Nedavni slučajevi uključuju DeepFake prevare s ciljanjem rukovoditelja tvrtke i chatboti koji se koriste za generiranje zlonamjernog koda. Prema Check Point-u, cyber napadi porasli su za 47% u prvom tromjesečju 2025. godine, a dijelom su potaknuli automatizirane alate i zlonamjerni softver koji generira AI koji smanjuju prepreku unosa za manje kvalificirane napadače.
Kripto valuta ostaje gornja meta. Lančanina ‘ Ažuriranje srednje godine Otkrio je da je više od 2,17 milijardi dolara kriptovaluta do sada ukradeno 2025. godine, s gotovo četvrtinom tog kompromisa vezanih za osobne novčanice. Stručnjaci ukazuju na pristupačnost AI alata kao ključni pokretač više ciljanih napada na pojedine korisnike.
Otkrivanje zlonamjernog softvera koji se skriva pred očima
Aqua Nautilus poziva korisnike da ostanu budni zbog suptilnih promjena sustava koje mogu ukazivati na skrivene prijetnje. Oni uključuju neovlaštene promjene u .BASHRC datotekama i neočekivane pozadinske zadatke dodane putem Cron ili SystemD.
Zaključane promjene u postavkama DNS -a, kao što je modificirani /etc/resolv.conf, mogu signalizirati pokušaje kontrole odlaznog prometa. Iznenadni bod u uporabi CPU -a ili GPU -a također mogu sugerirati kriptominu u tijeku.
Slikovne datoteke ili binarne datoteke sastavljene tijekom izvođenja trebaju se tretirati s oprezom jer one mogu nositi skrivene teret prerušene u legitimne datoteke, po Aqua timu.
Istraživači su naglasili da uzorci skriptiranja s čistom strukturom, modularnom logikom i generičkim komentarima mogu ukazivati na zlonamjerni softver koji podržava A-A. Uz to, mrežna aktivnost koja uključuje alate poput CURL -a ili WGET -a može otkriti komunikaciju s daljinskom infrastrukturom napadača.
Ovi naizgled manji znakovi, ako se gledaju zajedno, ukazuju na prijetnju namijenjenu da ostanu skriveni pred očima.
Napadači sve više koriste AI za lažno predstavljanje pouzdanih platformi i zaobilaženje ljudske obrane. Pročitajte našu pokrivenost na web lokacijama koje generiraju AI, oponašajući Okta i Microsoft 365 da biste saznali više.
Povezani sadržaji
- TenneT postavlja optičku mrežu na moru u Sjevernom moru kako bi povećao učinak
Obnova Alexa: Kako Amazon miješa modele, agente i upotrebu preglednika za pametnije AI
Akcijski RPG Eternal Strands bivšeg šefa Dragon Agea Mikea Laidlawa dobiva datum izlaska rano 2025.
Debian 13 stiže s velikim ažuriranjima za korisnike Linuxa – što je novo u ‘Trixie’
Android 16 beta 4 stiže sutra na piksel uređaje
Konačno sam našao vizualno ugodan Linux distro koji ne štedi na izvedbi
