El nuevo malware de Linux ‘Auto-color’ otorga a los piratas informáticos acceso remoto completo a los sistemas comprometidos
Universidades y organizaciones gubernamentales de América del Norte y Asia han sido blanco de un malware de Linux previamente no documentado llamado Auto-Color entre noviembre y diciembre de 2024, según nuevos hallazgos de la Unidad 42 de Palo Alto Networks.
“Una vez instalado, Auto-color permite a los actores de amenazas un acceso remoto completo a las máquinas comprometidas, lo que hace que sea muy difícil de eliminar sin un software especializado”, dijo el investigador de seguridad Alex Armstrong en un informe técnico sobre el malware.
Un aspecto notable del malware es el arsenal de trucos que emplea para evadir la detección. Esto incluye el uso de nombres de archivo aparentemente inocuos como door o egg, la ocultación de conexiones de comando y control (C2) y el aprovechamiento de algoritmos de cifrado patentados para enmascarar la comunicación y la información de configuración.
Una vez que se inicia con privilegios de root, procede a instalar un implante de biblioteca malicioso llamado “libcext.so.2”, se copia y cambia el nombre a /var/log/cross/auto-color, y realiza modificaciones en “/etc/ld.preload” para establecer la persistencia en el host.
