Auto color Un nuevo malware para Linux al acecho de universidades y gobiernos
Ha aparecido de la nada un nuevo malware para Linux y tiene a los expertos desconcertados: lo han llamado Auto-Color, lo detectaron por primera vez a principios del noviembre pasado y desde entonces le vienen siguiendo la pista, sin demasiado éxito en cuanto a su origen o método concreto de infección.
Según cuentan investigadores de Palo Alto Networks, Auto-Color se ha utilizado en gran medida para infectar servidores en universidades y gobiernos en América del Norte y Asia. Sin embargo, desconocen por ahora cómo se realiza la infección, si bien se mantiene la máxima habitual en estos casos, y es que el malware debe ser ejecutado de manera expresa en la máquina.
Una vez introducido en el sistema, entonces sí, Auto-Color facilita el acceso remoto completo al atacante. Lo más peliagudo es que incluso habiéndolo detectado, es muy complicado de eliminar sin utilizar un software especializado, aseguran los investigadores. Por supuesto, ese software incluye soluciones propias de la compañía, preparadas ya para afrontar este problema.
Auto-Color es una pieza de malware potente y curiosa la mismo tiempo, ya que permite al atacante crear un shell inverso, ejecutar comandos para recopilar información del sistema, crear y modificar archivos, ejecutar aplicaciones, convertir el dispositivo en un proxy y hasta desinstalar el propio malware, el cual evita su detección de varias formas: usando nombres de archivo simples, ocultando sus conexiones…
Resumen
Entre principios de noviembre y diciembre de 2024, investigadores de Palo Alto Networks descubrieron un nuevo malware Linux llamado Autocolor. Elegimos este nombre basado en el nombre del archivo que la carga útil inicial se renombra a sí misma después de la instalación.
El malware emplea varios métodos para evitar la detección, tales como:
Uso de nombres de archivos benignos para operar
Esconder conexiones de comando y control remoto (C2) utilizando una técnica avanzada similar a la utilizada por la familia de malware Symbiote
Implementar algoritmos de cifrado patentados para ocultar información de comunicación y configuración
Una vez instalado, Auto-color permite a los actores de amenazas pleno acceso remoto a máquinas comprometidas, lo que hace muy difícil de quitar sin software especializado.
Este artículo cubrirá aspectos de este nuevo malware Linux, incluyendo funciones de instalación, ofuscación y evasión. También discutiremos sus capacidades e indicadores de compromiso (IoCs), para ayudar a otros a identificar esta amenaza también en sus sistemas.
Inicio de malware e instalación
Una vez que el malware se ejecuta inicialmente en la máquina víctima, se comprobará si el nombre de archivo ejecutable es Auto-color. Inicialmente, los ejecutables originales tendrán diferentes nombres de archivos como puerta o huevo, y realizarán una lógica diferente si el nombre difiere de Auto-color. Si su nombre de archivo ejecutable no es Autocolor, el malware ejecutará su fase de instalación para un implante de biblioteca evasivo ubicado dentro del propio ejecutable.
Si el usuario actual carece de privilegios de raíz, el malware no procederá con la instalación del implante evasivo de biblioteca en el sistema. Procederá a hacer lo más posible en sus fases posteriores sin esta biblioteca.
Si el usuario actual tiene privilegios de raíz, el malware instala un implante de biblioteca malicioso llamado libcext.so.2. Esto es para imitar la biblioteca de utilidad C legítima libcext.so.0 para evadir la detección.
El malware localiza la ruta del directorio de la biblioteca base utilizando la función dladdr() con un símbolo utilizado de la biblioteca estándar C (libc). En este caso, utilizó strerr(). Si el símbolo no existe en el sistema, el malware usará el camino de biblioteca base predeterminado.
Referencias
equipo de incidencias – https://start.paloaltonetworks.com/contact-unit42.html