Una nueva amenaza de puerta trasera para Linux, denominada Auto-color, ha sido descubierta, la cual tiene como objetivo organizaciones gubernamentales y universidades en América del Norte y Asia. Detectada inicialmente entre noviembre y diciembre de 2024, Auto-color está diseñada para eludir la detección y mantener acceso persistente en los sistemas comprometidos. Según el análisis de Mohamed Ezat, Auto-color se distingue de otros programas maliciosos por el empleo de técnicas sofisticadas que le permiten permanecer oculta y operativa.
El malware se disfraza como una herramienta benigna para mejorar el color y utiliza nombres de archivos comunes como «puerta», «huevo» y «registro» para mezclarse con los archivos del sistema. Su carga inicial cambia el nombre a “color automático”, enmascarando aún más su intención maliciosa.
Una de sus características clave es el cifrado de sus cadenas, lo que hace que el análisis estático sea más desafiante. Resuelve dinámicamente las API en tiempo de ejecución, evitando llamadas directas al sistema que podrían ser señaladas por el software de seguridad.
Cuando se ejecuta con privilegios de root, Auto-color implementa tácticas de evasión avanzadas, incluida la eliminación de una biblioteca compartida que vincula funciones de libc para ocultar conexiones de red, evitar la desinstalación y garantizar que sus actividades no sean detectadas.
Tras la infección, Auto-color crea un directorio llamado /var/log/cross, estableciendo permisos en 777 para permitir acceso de lectura, escritura y ejecución. Luego se copia a sí mismo en esta carpeta y cambia el nombre del archivo a «color automático» para que parezca inofensivo.
También se coloca una biblioteca compartida maliciosa, libcext.so.2, en la ruta de la biblioteca del sistema, imitando bibliotecas legítimas para evitar sospechas.
Para garantizar la persistencia, Auto-color modifica el archivo /etc/ld.preload, lo que fuerza la carga de bibliotecas específicas en cada proceso. Esta biblioteca enlaza funciones críticas del sistema, protege los archivos de configuración del malware y garantiza que cualquier intento de eliminarlos o modificarlos sea redirigido o bloqueado, dijo Mohamed Ezat.
Auto-color establece un canal de comunicación con su servidor de comando y control (C2) mediante un socket TCP. Primero extrae la dirección C2 de una configuración cifrada almacenada dentro de su sección .data.
El malware utiliza un algoritmo de cifrado personalizado tanto para enviar como para recibir datos, lo que garantiza que las comunicaciones permanezcan seguras y no sean detectadas.
El malware puede recibir varios comandos del servidor C2, incluida la recopilación de información del sistema, la lectura, la escritura, la eliminación y la modificación de archivos, la creación de una puerta trasera de shell inverso, la configuración del dispositivo como proxy e incluso la autodestrucción para borrar todos los rastros de su presencia.
A pesar de sus sofisticadas técnicas de evasión, Auto-color ha sido denunciado por 15 proveedores de seguridad, según los últimos informes. El análisis del malware revela que requiere la ejecución explícita por parte de la víctima, siguiendo diferentes rutas basadas en privilegios de root.
Si se ejecuta como root, verifica su ruta de ejecución para determinar si ya se ha instalado y, en caso contrario, intenta instalarse solo.
Se ha desarrollado una regla YARA para aquellos que buscan detectar el color automático, apuntando a cadenas y tamaños de archivos específicos asociados con el malware. Además, se ha creado un script IDAPython para descifrar y analizar automáticamente las cadenas ofuscadas dentro de Auto-color, lo que ayuda a su identificación y eliminación.
La aparición de Auto-color subraya la creciente sofisticación de las ciberamenazas dirigidas a infraestructuras críticas. Las organizaciones gubernamentales y las instituciones educativas deben permanecer alerta, actualizando sus protocolos de seguridad y garantizando que sus sistemas estén protegidos contra amenazas persistentes tan avanzadas.
A medida que los ciberatacantes continúan perfeccionando sus técnicas, la comunidad de ciberseguridad debe ir un paso por delante, empleando métodos tradicionales e innovadores para salvaguardar nuestros entornos digitales.
