Linux-вредонос Koske маскируется под фото панд и майнит 18 криптовалют
Главная » Новости
SECURITM — система управления информационной безопасностьюSECURITM — система управления информационной безопасностью. Сократите расходы, автоматизируйте проверку соответствия требованиям и сведите подготовку к аудиту до 2 дней. Единая система для рисков, уязвимостей, активов и комплаенса с AI-ассистентом, конструктором документов, ГОСТ 57580, КИИ, ПДн, ГИС и поддержкой других регуляторных документов.→ Ознакомиться
Реклама. ООО «СЕКЪЮРИТМ». ИНН 7820074059, 16+

Linux-вредонос Koske маскируется под фото панд и майнит 18 криптовалют

Екатерина Быстрова 25 Июля 2025 - 10:28
...
Linux-вредонос Koske маскируется под фото панд и майнит 18 криптовалют

Исследователи из AquaSec обнаружили новый вредонос под Linux с необычным поведением и ещё более необычной маскировкой. Вредонос называется Koske, и, судя по всему, он был частично разработан с использованием генеративного ИИ. Самое интересное — он прячется в… фотографиях панд.

И нет, это не шутка. Атака начинается с того, что на уязвимый сервер, где неправильно настроен JupyterLab, загружаются два JPEG-файла с изображениями панд. С виду — самые обычные картинки, но внутри них спрятан вредоносный код.

Не с помощью стеганографии, как можно было бы подумать, а с помощью так называемых полиформатных файлов (polyglot). Это такие файлы, которые одновременно являются изображением и исполняемым скриптом — в зависимости от того, кто их читает.

Откроешь в браузере — увидишь панду.
Прочитаешь как скрипт — получишь запущенный вредонос в памяти.

В одном из файлов содержится C-код, который компилируется прямо в оперативной памяти и превращается в руткит. Он использует LD_PRELOAD, чтобы подменять системные вызовы и скрывать вредоносные процессы, файлы и директории. Второй файл — shell-скрипт, который тоже запускается из памяти. Он обеспечивает незаметную работу и закрепление в системе — через cron, systemd, перезапись DNS, обнуление iptables и даже автоматический подбор работающих прокси.

 

После этого Koske скачивает с GitHub криптомайнеры и определяет, какой из них использовать, в зависимости от ресурсов машины. Он умеет майнить 18 разных криптовалют, включая Monero, Ravencoin, Zano, Nexa и другие. Если выбранный пул недоступен — переключается на резервный.

Исследователи считают, что часть вредоноса могла быть сгенерирована с помощью больших языковых моделей или автоматизированных платформ: поведение слишком адаптивное, скрипты грамотно построены, а архитектура — продвинутая.

 

Примечательно, что среди артефактов атаки нашли IP-адреса из Сербии, сербские фразы в скриптах и слова на словацком в GitHub-репозитории с майнерами. Но в AquaSec подчёркивают: это не даёт уверенной атрибуции.

Koske — уже сам по себе серьёзная угроза, но главное — он показывает, каким может стать следующий этап в развитии вредоносов: умные, автономные, скрытные и непривязанные к жёсткому коду. И всё это — под видом милых JPEG-картинок.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Минцифры начало отбор особо значимых проектов
Яков Шпунт 26 Сентября 2025 - 09:24
Соответствие законодательству РФ КорпорацииГосударство Соответствие требованиям регуляторов
Минцифры начало отбор особо значимых проектов

25 сентября стартовал новый этап отбора проектов, претендующих на статус особо значимых (ОЗП). Подать заявку могут разработчики решений, направленных на импортозамещение. Приём заявок продлится до 26 октября, а их рассмотрение завершится 15 декабря.

Проекты, получившие статус ОЗП, смогут рассчитывать на грантовое финансирование до 50% от заявленной стоимости. Дополнительно заказчики продуктов или консорциумы смогут получить поддержку в размере от 100 млн до 2 млрд рублей.

Для получения статуса ОЗП необходимо соответствие следующим условиям:

  • соответствие приоритетным направлениям;
  • отсутствие зрелых российских аналогов;
  • высокий потенциал для тиражирования;
  • наличие экспортных перспектив;
  • срок реализации проекта — до 4 лет;
  • отсутствие аффилированности между разработчиком и заказчиком (заказчиками);
  • сохранение исключительных прав у разработчиков;
  • экономическая окупаемость проекта.

Дополнительные преимущества при отборе получат проекты, представленные организациями оборонного комплекса, а также решения, направленные на обеспечение функционирования критической информационной инфраструктуры, использующие технологии искусственного интеллекта, комплексные платформенные решения на открытой архитектуре или средства проектирования композитов, оптики и фотоники.

Как отмечает Минцифры, с 2022 года поддержку уже получили 49 проектов. В 2025 году на финансирование ОЗП выделено 8,3 млрд рублей.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Рег.ру предоставил облачные мощности для сервиса Novomail
Новость
Рег.ру предоставил облачные мощности для сервиса Novomail
Сеть дискаунтеров Доброцен парализована атакой
Новость
Сеть дискаунтеров Доброцен парализована атакой
Яндекс Документы вышел из бета-версии
Новость
Яндекс Документы вышел из бета-версии

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.