Hay numerosos métodos mediante los cuales un dispositivo puede ser infectado con malware. Desde la descarga de un archivo recibido por correo electrónico hasta el acceso a un enlace de un sitio web fraudulento, las opciones para los cibercriminales son variadas. De hecho, incluso una simple imagen podría ser la puerta de entrada a una infección. En este artículo, abordamos un malware conocido como Koske, que se disfraza de imágenes JPEG de osos panda.
El malware Koske afecta a sistemas operativos Linux y ha sido creado utilizando Inteligencia Artificial. Aunque la IA tiene muchas aplicaciones beneficiosas, también se ha convertido en una herramienta que los hackers emplean para desarrollar software malicioso de manera más eficiente, ampliando así su alcance a más potenciales víctimas.
Malware en imágenes infecta la memoria
Las imágenes que parecen inofensivas, en este caso, de osos panda, encierran un malware que puede infectar la memoria, según un comunicado emitido por AquaSec el 24 de julio. Se trata de un malware altamente sofisticado, y los expertos creen que los atacantes han utilizado grandes modelos de lenguaje (LLM) o marcos de automatización para su desarrollo.
Si tu sistema se ve afectado por esta amenaza, los atacantes pueden implementar mineros de criptomonedas en la CPU y GPU, lo que resultará en un consumo elevado de recursos del dispositivo. Pueden llegar a minar hasta 18 criptomonedas diferentes, causando una notable ralentización de tu ordenador y dificultando su uso habitual. Notarás esto al navegar, ejecutar programas que demanden más recursos o realizar tareas cotidianas.
Los investigadores de seguridad explican en su informe que el acceso inicial se obtiene aprovechando configuraciones incorrectas de instancias de JupyterLab que están expuestas en la web, permitiendo la ejecución de comandos. Una vez establecida la conexión, el atacante descarga dos imágenes JPEG de osos panda desde servicios legítimos como OVH images, freeimage y postimage.
JupyterLab es un entorno de desarrollo interactivo que se basa en el navegador y es ampliamente utilizado en ciencia de datos, investigación científica y aprendizaje automático. Funciona como una mezcla de un bloc de notas digital, un laboratorio de programación y un centro de análisis, permitiendo a los usuarios ejecutar código y visualizar gráficos. No es común que usuarios domésticos lo utilicen, siendo más habitual entre científicos de datos, desarrolladores y estudiantes.
Estas imágenes ocultan cargas útiles maliciosas. Dependiendo de la aplicación que abra o procese el archivo, podrá ser interpretado como una simple imagen o como un script. Los scripts maliciosos en Shell y C hacen que, al abrirlas, el usuario observe una simple imagen de osos panda, mientras que simultáneamente se ejecuta código Shell en la memoria. A partir de ese instante, dependiendo de las características del sistema, se activarán los mineros de criptomonedas. Los atacantes pueden ocultar software malicioso en los metadatos de las imágenes.
Amenazas más peligrosas
Los investigadores de AquaSec han alertado que el malware generado por IA, como es el caso de Koske, representa una preocupación creciente. No obstante, anticipan que la situación podría empeorar, con la aparición de variantes futuras que aprovechen la adaptabilidad en tiempo real y evolucionen en amenazas más complejas y difíciles de detectar.
Para prevenir este tipo de problemas, evitar errores sigue siendo la mejor defensa. Es crucial no hacer clic en enlaces sospechosos, evitar la instalación de software de fuentes no confiables y no exponer excesivamente tus datos personales. Todo esto contribuirá a que los cibercriminales no puedan alcanzar su objetivo de infectar los sistemas.
Además, es fundamental mantener tus equipos actualizados. En muchos casos, los atacantes buscan explotar vulnerabilidades de seguridad. Asegúrate de contar con las últimas versiones de tu sistema operativo y de cualquier programa instalado. Tener un buen antivirus también será beneficioso.
Dado que el vector de ataque es una mala configuración de JupyterLab, es esencial usar contraseñas seguras y configurar SSL/TLS para cifrar el tráfico. No expongas instancias sin protección por contraseña. También es recomendable utilizar un firewall que limite el acceso a la instancia solo a direcciones IP de confianza y, para accesos remotos, emplear túneles SSH en lugar de exponer directamente el puerto a internet.
Ten en cuenta que este malware en particular afecta a un grupo específico de usuarios de Linux, por lo que no representa una amenaza inmediata para la mayoría de los usuarios. Sin embargo, podrías encontrarte con amenazas similares dirigidas a Windows y otros sistemas.
Preguntas frecuentes
¿Esta amenaza afecta a Windows?
No, es un problema que solo afecta a sistemas Linux.
¿Me protege un antivirus de todas las amenazas de seguridad?
Un antivirus puede ayudar a detectar y eliminar malware, pero no protegerá contra amenazas como el phishing o la exposición de datos personales.
¿Cómo puedo saber si tengo un minero de criptomonedas en mi sistema?
Podrías notar problemas al ejecutar ciertos programas, un aumento en el ruido del ventilador, un uso elevado de la CPU y sobrecalentamiento. En general, el rendimiento del sistema se vería afectado.
