Pesquisadores da Unidade 42 da Palo Alto Networks identificaram um novo malware direcionado a sistemas Linux, apelidado de Auto-Color. O ataque, que ocorreu entre novembro e dezembro de 2024, afetou principalmente universidades e órgãos governamentais na América do Norte e Ásia. O malware oferece aos hackers acesso remoto completo às máquinas infectadas, dificultando sua remoção sem o auxílio de softwares especializados.
Novo malware Auto-Color ameaça sistemas Linux com controle remoto total
Como o Auto-Color infecta os sistemas?
Ainda não está claro o vetor exato de ataque do Auto-Color, mas sabe-se que ele exige que a vítima o execute manualmente em sua máquina. Assim que ativado, o malware renomeia sua carga inicial e se oculta no sistema com nomes de arquivo aparentemente inofensivos, como “door” ou “egg”.
Além disso, ele utiliza algoritmos de criptografia proprietários para esconder suas comunicações com servidores de comando e controle (C2).
Técnicas de evasão e persistência
Para evitar detecção, o Auto-Color modifica arquivos críticos do sistema. Se obtiver privilégios de root, ele instala uma biblioteca maliciosa chamada “libcext.so.2” e copia a si mesmo para o diretório “/var/log/cross/auto-color”. Em seguida, altera o arquivo “/etc/ld.preload” para garantir persistência no sistema.
Caso não tenha acesso root, o malware tenta executar o máximo de suas funções sem essa biblioteca adicional.
O implante de biblioteca intercepta chamadas do sistema, alterando o arquivo “/proc/net/tcp” para esconder suas conexões com servidores C2. Essa técnica já foi utilizada por outro malware Linux, o Symbiote.
Notícias Relacionadas
Segurança digital
Vulnerabilidade no Yelp do Ubuntu expõe chaves SSH através de links maliciosos
Uma falha no sistema de ajuda do Ubuntu permite que links específicos revelem informações privadas, como sua chave SSH. Veja como isso acontece e como evitar.
Violação digital
Roubo de dados expõe clientes da Hertz após falha em plataforma Cleo
A Hertz confirmou o roubo de dados de clientes após ataques cibernéticos explorarem falhas em plataforma da Cleo. Informações pessoais e documentos sensíveis foram acessados.
Recursos avançados de controle remoto
Após a infecção, o Auto-Color se conecta a um servidor C2, permitindo que os atacantes executem diversas ações maliciosas, como:
- Criar um shell reverso para controle remoto;
- Coletar informações do sistema infectado;
- Criar e modificar arquivos;
- Executar programas remotamente;
- Utilizar a máquina como proxy para redirecionamento de tráfego;
- Desinstalar-se automaticamente usando um kill switch.
Os operadores do malware usam um algoritmo proprietário para compilar e criptografar os endereços IP dos servidores de comando, tornando a detecção e o bloqueio ainda mais complexos.
Como se proteger do Auto-Color?
Diante dessa nova ameaça, especialistas recomendam medidas rigorosas de segurança para prevenir infecções, como:
- Evitar executar arquivos suspeitos manualmente;
- Manter sistemas e softwares atualizados;
- Implementar soluções de segurança avançadas para Linux;
- Monitorar atividades de rede em busca de conexões anômalas;
- Restringir privilégios administrativos para minimizar danos potenciais.
O Auto-Color reforça a crescente sofisticação dos ataques cibernéticos contra sistemas Linux. Empresas e instituições devem reforçar suas práticas de segurança para evitar compromissos graves de seus ambientes digitais.
