Novo malware para Linux Auto-Color
26 de Fevereiro de 2025

Universidades e organizações governamentais na América do Norte e na Ásia foram alvos de um malware Linux até então não documentado, chamado Auto-Color, entre novembro e dezembro de 2024, de acordo com novas descobertas da Palo Alto Networks Unit 42.

“Uma vez instalado, o Auto-Color permite que os atores de ameaças tenham acesso remoto total às máquinas comprometidas, tornando muito difícil a remoção sem software especializado”, disse o pesquisador de segurança Alex Armstrong em uma análise técnica do malware.

O nome Auto-Color vem baseado no nome do arquivo que o payload inicial se renomeia após a instalação.

Até o momento, não é conhecido como ele alcança seus alvos, mas sabe-se que requer que a vítima o execute explicitamente em sua máquina Linux.

Um aspecto notável do malware é o arsenal de truques que emprega para evadir detecção.

Isso inclui o uso de nomes de arquivos aparentemente inócuos como door ou egg, escondendo conexões command-and-control (C2), e utilizando algoritmos de criptografia proprietários para mascarar comunicação e informações de configuração.

Uma vez lançado com privilégios de root, ele procede para instalar um implante de biblioteca maliciosa nomeado “libcext.so.2”, copia e renomeia-se para /var/log/cross/auto-color, e faz modificações em “/etc/ld.preload” para estabelecer persistência no host.

“Se o usuário atual não possuir privilégios de root, o malware não prosseguirá com a instalação do implante de biblioteca evasiva no sistema”, disse Armstrong.

Ele procederá a fazer o máximo possível em suas fases posteriores sem esta biblioteca.

O implante de biblioteca é equipado para se conectar passivamente em funções usadas em libc para interceptar a chamada de sistema open(), que ele usa para esconder comunicações C2 modificando “/proc/net/tcp”, um arquivo que contém informações sobre todas as conexões de rede ativas.

Uma técnica similar foi adotada por outro malware Linux chamado Symbiote.

Ele também impede a desinstalação do malware protegendo “/etc/ld.preload” contra futuras modificações ou remoção.

O Auto-Color então procede para contatar um servidor C2, concedendo ao operador a capacidade de criar um reverse shell, coletar informações do sistema, criar ou modificar arquivos, executar programas, usar a máquina como um proxy para comunicação entre um endereço IP remoto e um IP alvo específico, e até mesmo se desinstalar por meio de um kill switch.

“Ao ser executado, o malware tenta receber instruções remotas de um servidor de comando que pode criar backdoors de reverse shell no sistema da vítima”, disse Armstrong.

Os atores de ameaça compilam e criptografam separadamente cada IP do servidor de comando usando um algoritmo proprietário.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...