El malware para Linux Auto-Color otorga a los hackers acceso remoto completo a los sistemas comprometidos

Entre noviembre y diciembre de 2024, universidades y entidades gubernamentales en América del Norte y Asia fueron blanco de un malware para Linux hasta ahora desconocido, denominado Auto-Color, según nuevos hallazgos de Palo Alto Networks Unit 42.

«Una vez que Auto-Color se instala, los atacantes obtienen acceso remoto total a los equipos infectados, lo que dificulta su eliminación sin herramientas especializadas», explicó el investigador de seguridad Alex Armstrong en un análisis técnico del malware.

El nombre Auto-Color proviene del archivo al que el programa malicioso cambia su nombre tras ser instalado. Aunque aún no se ha identificado su método de propagación, se sabe que requiere que la víctima lo ejecute manualmente en su sistema Linux.

Uno de los rasgos más llamativos de este malware es la variedad de estrategias que emplea para evitar ser detectado. Entre ellas, utiliza nombres de archivos aparentemente inofensivos como «door» o «egg», oculta las conexiones con su servidor de control (C2) y usa algoritmos de cifrado exclusivos para encubrir tanto su comunicación como su configuración.

Si se ejecuta con privilegios de administrador, Auto-Color instala una biblioteca maliciosa llamada «libcext.so.2», se copia a la ruta «/var/log/cross/auto-color» y altera el archivo «/etc/ld.preload» para asegurar su permanencia en el sistema.

«Si el usuario no posee permisos de root, el malware no instalará la biblioteca oculta. Aun así, intentará ejecutar la mayor cantidad de acciones posibles en sus etapas posteriores sin este componente», señaló Armstrong.

El código malicioso de la biblioteca intercepta ciertas funciones de la libc para modificar la llamada al sistema open(), lo que le permite ocultar las comunicaciones con el C2 manipulando el archivo «/proc/net/tcp», que almacena información sobre las conexiones de red activas. Esta táctica ya había sido utilizada por otro malware para Linux, conocido como Symbiote.

Además, impide su eliminación protegiendo el archivo «/etc/ld.preload» contra modificaciones o intentos de borrado.

Después de establecerse en el sistema, Auto-Color se comunica con un servidor C2, lo que permite a los atacantes abrir un shell inverso, recolectar información del sistema, modificar o crear archivos, ejecutar procesos, usar la máquina infectada como un intermediario entre una dirección IP remota y un objetivo específico, e incluso eliminarse a sí mismo mediante un mecanismo de autodestrucción.

«Al activarse, el malware busca instrucciones remotas desde un servidor de control, el cual puede establecer puertas traseras de shell inverso en el equipo de la víctima. Los atacantes generan y cifran cada dirección IP del servidor de comando utilizando un algoritmo de encriptación exclusivo», explicó Armstrong.

Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180224401848086 Nombre: Masterhacks LATAM Banco: STP

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/KdHY8EXqhAUCVp8kcum4QL
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *