Il malware Auto-Color è una nuova minaccia che ha preso di mira università e organizzazioni governative in Nord America e Asia tra novembre e dicembre 2024. Questo software malevolo, scoperto da Palo Alto Networks Unit 42, consente agli attori delle minacce di ottenere accesso remoto completo ai sistemi compromessi, rendendo la sua rimozione estremamente difficile senza software specializzati. Auto-Color è chiamato così per il nome del file che l'iniziale payload adotta dopo l'installazione. La modalità di diffusione del malware non è ancora chiara, ma è noto che richiede l'esecuzione da parte della vittima sul proprio sistema Linux.

Caratteristiche distintive

Una caratteristica distintiva di Auto-Color è la sua capacità di evitare il rilevamento, utilizzando nomi di file apparentemente innocui come "door" o "egg", nascondendo le connessioni di comando e controllo (C2) e impiegando algoritmi di crittografia proprietari per mascherare le comunicazioni e le informazioni di configurazione. Una volta eseguito con privilegi di root, Auto-Color installa una libreria malevola chiamata "libcext.so.2", si copia e si rinomina in /var/log/cross/auto-color e modifica il file "/etc/ld.preload" per garantire la persistenza sul sistema.

Se l'utente attuale non dispone di privilegi di root, il malware non procede con l'installazione della libreria evasiva, ma continua comunque a eseguire le sue funzioni in fasi successive senza di essa. La libreria malevola è progettata per passivamente agganciare le funzioni utilizzate in libc per intercettare la chiamata di sistema open(), utilizzata per nascondere le comunicazioni C2 modificando "/proc/net/tcp", un file che contiene informazioni su tutte le connessioni di rete attive. Un metodo simile è stato adottato da un altro malware Linux noto come Symbiote.

Prevenzione e protezione

Auto-Color previene anche la disinstallazione del malware proteggendo "/etc/ld.preload" da ulteriori modifiche o rimozioni. Successivamente, si collega a un server C2, consentendo all'operatore di generare una shell inversa, raccogliere informazioni sul sistema, creare o modificare file, eseguire programmi, utilizzare la macchina come proxy per comunicazioni tra un indirizzo IP remoto e un IP target specifico e persino disinstallarsi tramite un kill switch. Al momento dell'esecuzione, il malware tenta di ricevere istruzioni remote da un server di comando che può creare backdoor di shell inversa sul sistema della vittima. Gli attori delle minacce compilano e crittografano separatamente ogni IP del server di comando utilizzando un algoritmo proprietario.