![[site_title]](https://seguridadyfirewall.cl/wp-content/uploads/2024/07/logo-discover-34.png "[site_title]"){kind=logo}
Una nueva amenaza ha emergido para los sistemas Linux. Este malware, denominado Auto-Color, se dirige específicamente a universidades y organismos gubernamentales. Su principal función consiste en actuar como una puerta trasera encubierta, lo que permite un acceso continuo a los sistemas afectados.
Campañas Maliciosas de Auto-Color en Linux
Investigadores de Palo Alto Networks, en su equipo Unit 42, han descubierto Auto-Color. Este malware opera activamente realizando campañas maliciosas. Los expertos instan a los usuarios a estar alertas frente a esta amenaza sigilosa, que se enfoca en sistemas Linux a nivel global.
Auto-Color se manifiesta como una puerta trasera potente. Consigue infiltrarse de forma astuta en los sistemas objetivo, logrando así un acceso constante.
Características Engañosas del Malware
El nombre Auto-Color proviene de su capacidad para renombrarse tras su instalación. Este malware utiliza nombres de archivo inocuos, como “puerta” o “huevo”. Además, adopta técnicas de evasión para ocultar sus conexiones de comando, sus comunicaciones y configuraciones. Utiliza algoritmos de cifrado para incrementar su invisibilidad. Los investigadores notaron similitudes con otro malware conocido, Symbiote, que también se ocultaba eficientemente.
Una vez instalado con éxito, Auto-Color establece persistencia en el sistema. Esto permite a los atacantes acceder de forma remota a los sistemas comprometidos. Si la cuenta de usuario tiene acceso root, el malware instala una biblioteca maliciosa llamada libcext.so.2. Esta acción facilita la permanencia en el sistema.
Por otro lado, si la cuenta de usuario carece de privilegios de root, el malware evita la instalación de la biblioteca. En este caso, proporciona acceso temporal. La instalación de la biblioteca permite al malware imitar la biblioteca C legítima libcext.so.0, ayudando a mantener su persistencia oculta.
Acciones Posteriores al Ataque
Después de un ataque exitoso, el malware recibe instrucciones desde su servidor de comando. Estas pueden incluir abrir un shell reverso, ejecutar comandos arbitrarios y modificar archivos. También puede actuar como un intermediario, redirigiendo el tráfico del sistema hacia los atacantes. Uno de sus mecanismos más preocupantes es la función de “kill-switch”. Esta característica elimina cualquier rastro de la infección para evitar ser detectado.
Los investigadores han publicado un análisis técnico exhaustivo sobre este malware. Esto incluye detalles que pueden resultar útiles para los usuarios.
Precauciones para Usuarios de Linux
El equipo de Unit 42 detectó el malware por primera vez en noviembre de 2024. Al analizar las muestras, identificaron su uso en universidades y oficinas gubernamentales en Asia y América del Norte. Sin embargo, no pudieron determinar las vías exactas a través de las cuales el malware se propaga.
A pesar de esto, los investigadores han compartido los indicadores de compromiso (IoCs) en su informe. Esto permitirá a los usuarios revisar sus sistemas de manera efectiva.
¿Qué opinas sobre este nuevo malware? Comparte tus pensamientos en los comentarios.
Como joven medio de comunicación independiente, Seguridad y Firewall necesita tu ayuda. Apóyanos siguiéndonos y marcándonos como favoritos en Google News. Gracias por tu apoyo.
