Las universidades y las organizaciones gubernamentales en América del Norte y Asia han sido atacadas por un malware Linux previamente indocumentado llamado Auto-Color entre noviembre y diciembre de 2024, según nuevos hallazgos de la Unidad 42 de Palo Alto Networks.
«Una vez instalado, el color automático permite a los actores de amenaza el acceso remoto completo a las máquinas comprometidas, lo que hace que sea muy difícil de eliminar sin software especializado», dijo el investigador de seguridad Alex Armstrong en una redacción técnica del malware.
Auto-Color se llama así según el nombre del archivo, la carga útil inicial se renombra en sí misma la instalación. Actualmente no se sabe cómo alcanza sus objetivos, pero lo que se sabe es que requiere que la víctima la ejecute explícitamente en su máquina Linux.
Un aspecto notable del malware es el arsenal de los trucos que emplea para evadir la detección. Esto incluye el uso de nombres de archivos aparentemente inocuos como puerta o huevo, ocultar conexiones de comando y control (C2) y aprovechar los algoritmos de cifrado patentados para enmascarar la información de comunicación e configuración.
Una vez lanzado con privilegios raíz, procede a instalar un implante de biblioteca malicioso llamado «libcext.so.2,» copia y se renombra a/var/log/cross/auto-coloror, y realiza modificaciones a «/etc/ld.preload» para establecer la persistencia en el host.
«Si el usuario actual carece de privilegios raíz, el malware no continuará con la instalación del implante de biblioteca evasiva en el sistema», dijo Armstrong. «Procederá a hacer lo más posible en sus fases posteriores sin esta biblioteca».
El implante de la biblioteca está equipado con las funciones pasivamente de gancho utilizadas en LIBC para interceptar la llamada del sistema Open (), que utiliza para ocultar las comunicaciones C2 modificando «/Proc/Net/TCP», un archivo que contiene información sobre todas las conexiones de red activas. Una técnica similar fue adoptada por otro malware Linux llamado Symbiote.
También evita la desinstalación del malware al proteger el «/etc/ld.preload» contra una modificación o eliminación adicionales.
Auto-Color luego procede a contactar a un servidor C2, otorgando al operador la capacidad de generar un shell inverso, recopilar información del sistema, crear o modificar archivos, ejecutar programas, usar la máquina como proxy para la comunicación entre una dirección IP remota y una dirección IP de destino específica, e incluso desinstalarlo por medio de un interruptor de matar.
«Tras la ejecución, el malware intenta recibir instrucciones remotas de un servidor de comandos que puede crear traseros de shell inverso en el sistema de la víctima», dijo Armstrong. «Los actores de amenaza compilan por separado y encriptan cada IP del servidor de comandos utilizando un algoritmo patentado».