Pular para o conteúdo principal

Compartilhe

Namechk, você pode verificar a disponibilidade de um nome de usuário ou domínio em segundos.

Com o Namechk, você pode verificar a disponibilidade de um nome de usuário ou domínio em segundos. Existem 351 milhões de nomes de domínio registrados, e esse número continua crescendo. Todos os dias, milhares de novos nomes são registrados. Como os nomes de domínio só podem ser usados ​​por uma empresa ou pessoa por vez, pode ser difícil não apenas criar um nome de domínio que faça sentido, mas também encontrar um que esteja disponível.  Muita gente não quer perder tempo criando um novo nome de usuário, verificando a disponibilidade e registrando-o em cada plataforma. E se houvesse um jeito mais fácil? Existe. Um verificador e gerador de nomes de usuário como o Namechk  pode ajudar. Como funciona o Namechk? Comece com algumas ideias de nomes e digite cada uma delas na barra de pesquisa. O Namechk pega sua ideia de nome de usuário (mesmo palavras aleatórias) e verifica sua disponibilidade como nome de domínio e nome de usuário em dezenas de redes sociais e plataformas online. ...
Postar um comentário
Leia mais

Hackers estão usando IA e imagens de panda para infectar máquinas Linux - veja como

A equipe de pesquisa Nautilus da Aqua Security identificou um novo malware Linux chamado "Koske", que pode ser o primeiro caso publicamente documentado de malware assistido por IA.

Disfarçado como imagens JPEG inocentes de pandas, Koske entrega criptomineradores e um rootkit furtivo usando código que parece moldado por grandes modelos de linguagem, sugerindo que os invasores agora estão adotando as mesmas ferramentas de IA que os defensores usam.

VEJA TAMBÉM: Matanbuchus 3.0 é uma séria ameaça de malware espalhada pelo Microsoft Teams

A campanha de malware começa com invasores explorando uma instância mal configurada do JupyterLab. De lá, eles baixam arquivos de imagem de uso duplo de serviços de hospedagem gratuitos.

Esses Jpegs contêm scripts de shell ocultos e código C compilado anexado no final, um método conhecido como abuso de arquivo poliglota.

Diferentemente da esteganografia, que esconde conteúdo malicioso dentro dos dados da imagem, essa técnica simplesmente adiciona código executável ao final do arquivo.

O malware então executa esses componentes diretamente na memória, tornando-os difíceis de detectar com ferramentas antivírus tradicionais.

O payload inicial inclui um script que se incorpora silenciosamente em várias partes do sistema Linux para manter a persistência. Isso inclui a edição dos arquivos .bashrc e .bash_logout, a modificação de /etc/rc.local e a criação de um serviço systemd personalizado.

O malware também configura tarefas cron para serem executadas na reinicialização e a cada 30 minutos, garantindo sua presença mesmo após a reinicialização do sistema.

Um dos recursos mais preocupantes do Koske é seu segundo payload, um rootkit de userland escondido dentro de outra imagem do panda.

Escrito em C puro, este rootkit sequestra a função readdir() por meio da variável de ambiente LD_PRELOAD. Isso permite que ele oculte seus arquivos, diretórios e processos de ferramentas de monitoramento padrão, como ls ou ps.

Ao filtrar quaisquer itens chamados "koske", "hideproc" ou similares, ele oculta sua presença dos administradores.

O uso de locais de memória compartilhada, como /dev/shm, complica ainda mais a detecção, pois evita a gravação no disco onde as ferramentas forenses normalmente procuram.

Koske também tenta contornar as defesas de rede. Ele redefine as configurações de proxy, limpa as regras de firewall do iptables e substitui as configurações de DNS do sistema pelos servidores do Google e Cloudflare, bloqueando-os com chattr +i para impedir alterações. Isso garante que seu tráfego de comando e controle possa escapar da maioria das restrições de rede local.

O malware não se limita à persistência e à furtividade. Ele também demonstra um comportamento adaptativo que sugere assistência de IA.

Koske usa um script chamado get_working_proxy para executar diagnósticos em camadas e resolver problemas de rede automaticamente. Se o acesso ao GitHub falhar, ele limpa metodicamente as regras de firewall, redefine as configurações de proxy e testa vários proxies SOCKS5 e HTTP extraídos de listas online.

Esses recursos de solução de problemas e correção apontam para capacidades de automação que vão além do malware padrão.

Sua lógica de mineração também é versátil. Koske avalia o hardware do host para determinar se deve implementar um minerador de CPU ou GPU e, em seguida, seleciona entre 18 criptomoedas suportadas, incluindo Monero, Ravencoin e Nexa.

Se a mineração falhar, o malware pode migrar para moedas ou pools alternativos sem intervenção. O minerador binário parece estar hospedado em uma conta do GitHub criada exclusivamente para esta campanha, reforçando a ideia de uma infraestrutura construída para esse fim.

IA atacando Linux

Vários elementos da base de código se destacam como possíveis indicadores de assistência da IA. A Aqua Security afirma que os scripts são detalhados e bem comentados, a lógica é limpa e modular e o código reflete técnicas comuns de programação defensiva.

Algumas funções também contêm sequências de caracteres em idioma sérvio, possivelmente como uma forma de mascarar a origem ou redirecionar a atribuição.

equipe da Aqua Security acredita que Koske é uma prévia de uma mudança muito maior nas ameaças cibernéticas. Embora as organizações tenham começado a adotar IA para detecção e automação, os invasores podem estar fazendo o mesmo agora.

A IA pode gerar código polimórfico, incorporar recursos adaptativos e ocultar assinaturas linguísticas, o que dificulta a atribuição e a detecção.

Para responder a esse tipo de ameaça em evolução, a Aqua recomenda monitorar de perto as modificações nos arquivos shell e atividades incomuns na inicialização. Alterações nas configurações de DNS ou a criação de novos serviços systemd devem disparar alertas.

Ferramentas de segurança de contêiner também devem ser configuradas para bloquear a execução de binários desconhecidos e impedir a injeção de rootkit.

Koske não é apenas mais um criptominerador, alerta Aqua. Ele faz parte de uma tendência maior em que o malware evolui em sofisticação não apenas por meio da engenhosidade humana, mas também com o auxílio da IA. 

Seja essa IA usada para refinar o código, aprimorar a furtividade ou se adaptar aos ambientes do host, as implicações são que os invasores estão aprendendo rápido e os defensores precisam estar prontos para responder.



https://betanews.com/2025/07/24/hackers-are-using-ai-and-panda-images-to-infect-linux-machines-heres-how/





O Koske é um malware sofisticado que explora uma combinação de técnicas para se manter oculto e persistente em sistemas Linux, com a preocupante possibilidade de ter sido auxiliado por Inteligência Artificial (IA). Para se defender contra esse tipo de ameaça, é crucial adotar uma abordagem em camadas, focando na prevenção, detecção e resposta.

Prevenção

A prevenção é a primeira linha de defesa e é essencial para minimizar as chances de uma infecção.

  • Configuração Segura de JupyterLab: Como a campanha do Koske começa explorando instâncias mal configuradas do JupyterLab, garantir que seu ambiente JupyterLab (e qualquer outra plataforma de desenvolvimento ou serviço web) esteja configurado de forma segura é fundamental.

    • Autenticação forte: Use senhas complexas e, se possível, autenticação multifator (MFA).

    • Restrições de acesso: Limite o acesso à instância apenas para IPs e usuários autorizados.

    • Atualizações: Mantenha o JupyterLab e todas as suas dependências sempre atualizadas para corrigir vulnerabilidades conhecidas.

    • Execução de código restrita: Configure o JupyterLab para limitar os tipos de comandos ou scripts que podem ser executados, se aplicável.

  • Conscientização sobre Arquivos Poliglotas: Eduque usuários e administradores sobre o risco de arquivos de uso duplo, como JPEGs que contêm scripts executáveis.

    • Não baixar arquivos de fontes não confiáveis: Sempre verifique a origem de qualquer arquivo antes de baixá-lo ou abri-lo.

    • Análise de arquivos: Use ferramentas que possam identificar e alertar sobre a presença de código executável em arquivos de imagem ou outros tipos de arquivos que normalmente não deveriam conter código.

  • Endurecimento do Sistema Linux:

    • Princípio do menor privilégio: Garanta que os usuários e serviços executem com o menor nível de privilégio necessário.

    • Configurações de Firewall: Mantenha um firewall robusto (como iptables ou ufw) configurado para bloquear tráfego de entrada e saída não autorizado. O Koske tenta limpar essas regras, então a monitoração é crucial.

    • Restrições de execução: Use o noexec em partições onde scripts ou binários não deveriam ser executados (por exemplo, /tmp, /var/tmp, /dev/shm). O Koske usa /dev/shm para execução em memória, tornando essa medida ainda mais relevante.

    • Desativar serviços desnecessários: Reduza a superfície de ataque desativando quaisquer serviços do sistema que não são essenciais.

Detecção

A detecção rápida de uma infecção é vital para limitar seu impacto.

  • Monitoramento de Integridade de Arquivos (FIM): Implemente ferramentas de FIM (como AIDE ou OSSEC) para monitorar alterações em arquivos críticos do sistema. O Koske modifica:

    • .bashrc e .bash_logout

    • /etc/rc.local

    • Cria serviços systemd personalizados.

    • Modifica configurações de DNS e limpa regras de iptables. Alertas para alterações nessas áreas devem ser investigados imediatamente.

  • Monitoramento de Processos e Atividade da CPU/GPU:

    • Uso incomum de recursos: Fique atento a picos inesperados no uso da CPU ou GPU, que podem indicar atividade de criptomineração. Ferramentas como htop, top, glances ou soluções de monitoramento de servidor podem ajudar.

    • Processos desconhecidos: Monitore processos em execução para identificar quaisquer que não deveriam estar lá. O rootkit do Koske tenta se esconder de ls e ps, então técnicas mais avançadas, como a análise de /proc diretamente ou o uso de ferramentas de detecção de rootkits, são necessárias.

  • Monitoramento de Rede:

    • Tráfego DNS incomum: Monitore o tráfego DNS para identificar tentativas de redefinir as configurações de DNS ou se conectar a servidores DNS não autorizados.

    • Conexões de saída suspeitas: Observe as conexões de saída para endereços IP ou domínios incomuns, especialmente para serviços de criptomineração ou servidores de comando e controle (C2).

    • Reversões de configurações de firewall: Fique atento a eventos que indiquem que as regras do iptables foram limpas ou modificadas.

  • Detecção de Rootkits:

    • Ferramentas especializadas: Use ferramentas de detecção de rootkits (como Chkrootkit e Rkhunter) regularmente para verificar a presença de rootkits. Embora o Koske seja projetado para ser furtivo, essas ferramentas podem, por vezes, identificar anomalias.

    • Análise forense: Em caso de suspeita, uma análise forense aprofundada da memória e do sistema de arquivos pode ser necessária para identificar artefatos que o rootkit tenta ocultar.

  • Ferramentas de Segurança para Contêineres: Se você usa contêineres (Docker, Kubernetes), conforme recomendado pela Aqua Security:

    • Bloqueie a execução de binários desconhecidos: Configure suas políticas de segurança de contêiner para impedir a execução de binários não autorizados ou desconhecidos dentro dos contêineres.

    • Impeça a injeção de rootkits: Use soluções que possam detectar e prevenir a injeção de bibliotecas (LD_PRELOAD) ou outras técnicas de rootkit em contêineres.

Resposta

Se uma infecção for detectada, uma resposta rápida e eficaz é crucial para conter e erradicar a ameaça.

  • Isolamento: Isole imediatamente o sistema comprometido da rede para evitar a propagação do malware.

  • Análise Forense: Antes de limpar o sistema, conduza uma análise forense para entender como a infecção ocorreu, quais dados foram acessados e quais ações o malware executou. Isso ajudará a melhorar suas defesas futuras.

  • Remoção do Malware:

    • Identifique e remova todos os componentes do malware, incluindo scripts, binários do minerador, o rootkit e quaisquer modificações nos arquivos de inicialização e configurações do sistema.

    • Verifique e reverta as alterações feitas pelo Koske em arquivos como .bashrc, .bash_logout, /etc/rc.local, serviços systemd e configurações de DNS/firewall.

    • Reverta os servidores DNS para configurações confiáveis e restaure suas regras de firewall.

  • Restauração de Backup: Se houver dúvidas sobre a remoção completa do malware, a opção mais segura pode ser restaurar o sistema a partir de um backup limpo e conhecido, feito antes da infecção.

  • Pós-Incidente:

    • Análise de Causa Raiz: Determine como o ataque foi bem-sucedido e implemente medidas para evitar futuras infecções semelhantes.

    • Atualização de Políticas e Procedimentos: Revise e atualize suas políticas de segurança e procedimentos de resposta a incidentes.

    • Lições Aprendidas: Compartilhe as lições aprendidas com sua equipe para fortalecer a postura de segurança geral.

Ameaça da IA no Malware

O fato de o Koske possivelmente ter sido auxiliado por IA é um lembrete de que os atacantes estão utilizando as mesmas ferramentas que os defensores. Isso significa que as estratégias de defesa precisam evoluir constantemente.

  • IA para Defesa: Continue a investir em soluções de segurança que utilizam IA e aprendizado de máquina para detecção de anomalias, análise comportamental e identificação de ameaças zero-day que podem escapar das assinaturas tradicionais.

  • Compreensão de Novas Táticas: Mantenha-se atualizado sobre as últimas tendências em cibersegurança e como os atacantes estão alavancando novas tecnologias, como a IA, para aprimorar seus métodos.

Em resumo, a defesa contra malwares como o Koske exige uma vigilância constante, uma infraestrutura de segurança robusta e a capacidade de se adaptar rapidamente às novas táticas dos atacantes.

Enviar esta postagem

Comentários

Postar um comentário

Como usar um Agente OSINT IA

Pericia Digital

Ebook

Postagens mais visitadas