Universidades e organizações governamentais na América do Norte e na Ásia foram alvos de um malware Linux até então não documentado, chamado Auto-Color, entre novembro e dezembro de 2024, de acordo com novas descobertas da Palo Alto Networks Unit 42.
“Uma vez instalado, o Auto-Color permite que os atores de ameaças tenham acesso remoto total às máquinas comprometidas, tornando muito difícil a remoção sem software especializado”, disse o pesquisador de segurança Alex Armstrong em uma análise técnica do malware.
O nome Auto-Color vem baseado no nome do arquivo que o payload inicial se renomeia após a instalação.
Até o momento, não é conhecido como ele alcança seus alvos, mas sabe-se que requer que a vítima o execute explicitamente em sua máquina Linux.
Um aspecto notável do malware é o arsenal de truques que emprega para evadir detecção.
Isso inclui o uso de nomes de arquivos aparentemente inócuos como door ou egg, escondendo conexões command-and-control (C2), e utilizando algoritmos de criptografia proprietários para mascarar comunicação e informações de configuração.
Uma vez lançado com privilégios de root, ele procede para instalar um implante de biblioteca maliciosa nomeado “libcext.so.2”, copia e renomeia-se para /var/log/cross/auto-color, e faz modificações em “/etc/ld.preload” para estabelecer persistência no host.
“Se o usuário atual não possuir privilégios de root, o malware não prosseguirá com a instalação do implante de biblioteca evasiva no sistema”, disse Armstrong.
Ele procederá a fazer o máximo possível em suas fases posteriores sem esta biblioteca.
O implante de biblioteca é equipado para se conectar passivamente em funções usadas em libc para interceptar a chamada de sistema open(), que ele usa para esconder comunicações C2 modificando “/proc/net/tcp”, um arquivo que contém informações sobre todas as conexões de rede ativas.
Uma técnica similar foi adotada por outro malware Linux chamado Symbiote.
Ele também impede a desinstalação do malware protegendo “/etc/ld.preload” contra futuras modificações ou remoção.
O Auto-Color então procede para contatar um servidor C2, concedendo ao operador a capacidade de criar um reverse shell, coletar informações do sistema, criar ou modificar arquivos, executar programas, usar a máquina como um proxy para comunicação entre um endereço IP remoto e um IP alvo específico, e até mesmo se desinstalar por meio de um kill switch.
“Ao ser executado, o malware tenta receber instruções remotas de um servidor de comando que pode criar backdoors de reverse shell no sistema da vítima”, disse Armstrong.
Os atores de ameaça compilam e criptografam separadamente cada IP do servidor de comando usando um algoritmo proprietário.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...