Pesquisadores da Unidade 42 da Palo Alto Networks identificaram um novo malware direcionado a sistemas Linux, apelidado de Auto-Color. O ataque, que ocorreu entre novembro e dezembro de 2024, afetou principalmente universidades e órgãos governamentais na América do Norte e Ásia. O malware oferece aos hackers acesso remoto completo às máquinas infectadas, dificultando sua remoção sem o auxílio de softwares especializados.
Novo malware Auto-Color ameaça sistemas Linux com controle remoto total
Como o Auto-Color infecta os sistemas?
Ainda não está claro o vetor exato de ataque do Auto-Color, mas sabe-se que ele exige que a vítima o execute manualmente em sua máquina. Assim que ativado, o malware renomeia sua carga inicial e se oculta no sistema com nomes de arquivo aparentemente inofensivos, como “door” ou “egg”.
Além disso, ele utiliza algoritmos de criptografia proprietários para esconder suas comunicações com servidores de comando e controle (C2).
Técnicas de evasão e persistência
Para evitar detecção, o Auto-Color modifica arquivos críticos do sistema. Se obtiver privilégios de root, ele instala uma biblioteca maliciosa chamada “libcext.so.2” e copia a si mesmo para o diretório “/var/log/cross/auto-color”. Em seguida, altera o arquivo “/etc/ld.preload” para garantir persistência no sistema.
Caso não tenha acesso root, o malware tenta executar o máximo de suas funções sem essa biblioteca adicional.
O implante de biblioteca intercepta chamadas do sistema, alterando o arquivo “/proc/net/tcp” para esconder suas conexões com servidores C2. Essa técnica já foi utilizada por outro malware Linux, o Symbiote.
Recursos avançados de controle remoto
Após a infecção, o Auto-Color se conecta a um servidor C2, permitindo que os atacantes executem diversas ações maliciosas, como:
- Criar um shell reverso para controle remoto;
- Coletar informações do sistema infectado;
- Criar e modificar arquivos;
- Executar programas remotamente;
- Utilizar a máquina como proxy para redirecionamento de tráfego;
- Desinstalar-se automaticamente usando um kill switch.
Os operadores do malware usam um algoritmo proprietário para compilar e criptografar os endereços IP dos servidores de comando, tornando a detecção e o bloqueio ainda mais complexos.
Como se proteger do Auto-Color?
Diante dessa nova ameaça, especialistas recomendam medidas rigorosas de segurança para prevenir infecções, como:
- Evitar executar arquivos suspeitos manualmente;
- Manter sistemas e softwares atualizados;
- Implementar soluções de segurança avançadas para Linux;
- Monitorar atividades de rede em busca de conexões anômalas;
- Restringir privilégios administrativos para minimizar danos potenciais.
O Auto-Color reforça a crescente sofisticação dos ataques cibernéticos contra sistemas Linux. Empresas e instituições devem reforçar suas práticas de segurança para evitar compromissos graves de seus ambientes digitais.