Auto-Color: il nuovo malware per Linux che mette sotto scacco università e governi

  • Colore automatico Si tratta di un malware per Linux rilevato nel novembre 2024, che prende di mira università e agenzie governative.
  • Questo malware utilizza tecniche avanzate di evasione, nascondendo la sua presenza e le comunicazioni con i server di controllo.
  • Una volta installato, consente accesso remoto completo, esecuzione di comandi, manipolazione di file e utilizzo del sistema come proxy.
  • Gli esperti non sanno ancora come si diffonde, anche se si ritiene che utilizzi ingegneria sociale e phishing per la distribuzione.
Pablinux

4 minuti

Colore automatico

Nel panorama della sicurezza informatica è venuta alla luce una nuova minaccia: Colore automatico, un malware per sistemi Linux che ha infettato università e organizzazioni governative in Nord America e Asia. Scoperto dai ricercatori di Palo Alto Networks alla fine del 2024, questo malware è diventato una preoccupazione crescente a causa della sua capacità di eludere il rilevamento e mantenere il controllo dei sistemi compromessi.

Nonostante gli sforzi degli esperti di sicurezza, Non è ancora stato identificato chiaramente il modo in cui si diffonde.. Sembra però che utilizzi tattiche di ingegneria sociale e attacchi di phishing per indurre gli utenti a usare sistemi infetti.

Funzionalità e capacità di Auto-Color

Una volta che il malware è stato eseguito sul sistema, viene installato di nascosto e cambia il suo nome in 'Auto-Color', consentendogli di operare senza destare sospetti. Inizialmente, gli eseguibili utilizzati per infettare i dispositivi hanno nomi generici come "door", "egg" o "log", il che li rende difficili da rilevare.

Il malware presenta una serie di funzionalità avanzate che ne aumentano la pericolosità:

  • Accesso remoto completo: Gli aggressori possono utilizzare il sistema infetto come se si trovassero fisicamente di fronte ad esso.
  • Esecuzione del comando: consente ai criminali informatici di eseguire istruzioni che compromettono il sistema o manipolano i suoi file.
  • Utilizzando il sistema come proxy: trasforma il computer in un intermediario per nascondere altre attività dannose.
  • Elimina te stesso: Dispone di una funzione 'kill switch' che consente di cancellare le tracce dal computer infetto per evitare analisi forensi.

Tecniche di evasione e persistenza

Auto-Color ha dimostrato di essere particolarmente abile nel nascondi la tua presenza nel sistema. Una delle sue tattiche più pericolose è l'installazione di una libreria dannosa chiamata 'libcext.so.2', che si maschera da libreria di sistema legittima. Inoltre, modifica il file '/etc/ld.preload' per garantire che il suo codice venga eseguito prima di qualsiasi altra libreria di sistema.

Per rendere difficile tracciare la sua attività, il malware utilizza crittografia personalizzata per nascondere le comunicazioni con i loro server di controllo (C2), impedendo agli amministratori della sicurezza di rilevare connessioni sospette. Inoltre, intercetta e modifica le informazioni in '/proc/net/tcp', un file di sistema che normalmente registra le connessioni attive. Grazie a questa manipolazione, Auto-Color fa sì che le sue trasmissioni di dati passino inosservate.

Un vettore di attacco ancora sconosciuto

Uno degli aspetti più inquietanti di Auto-Color è che Il suo metodo di distribuzione resta un mistero.. A differenza di altri malware che sfruttano vulnerabilità specifiche, questo malware non sembra sfruttare direttamente le falle del sistema operativo Linux. I ricercatori ritengono invece che la sua diffusione potrebbe essere legata all'ingegneria sociale o ad attacchi mirati agli amministratori di sistema che potrebbero eseguire il file senza sospettarne la natura dannosa.

Come proteggersi dal colore proprio

Per ridurre al minimo il rischio di infezione, gli esperti di sicurezza raccomandano di seguire una serie di pratiche preventive:

  • Impedisci l'esecuzione di file sospetti: Gli amministratori di sistema dovrebbero essere cauti con i file sconosciuti, anche se sembrano legittimi.
  • Monitorare le modifiche in '/etc/ld.preload' e '/proc/net/tcp': Questi file vengono spesso manipolati da Auto-Color per garantirne la persistenza.
  • Implementare soluzioni di rilevamento basate sul comportamento: Grazie alle sue tecniche di elusione avanzate, questo tipo di scansione può essere più efficace degli antivirus tradizionali.
  • Utilizzare una politica di privilegi minimi: Limitare l'accesso degli utenti alle funzioni amministrative riduce le probabilità che un attacco vada a buon fine.

L'avvento di Auto-Color sottolinea l'importanza del monitoraggio continuo nel campo della sicurezza informatica. Sebbene il suo metodo di distribuzione non sia ancora chiaro, la sua sofisticatezza e le sue capacità di elusione lo rendono una delle minacce più preoccupanti per gli ambienti Linux attuali.

Immagine: DALL-E.


Lascia un tuo commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati con *

*

*

  1. Responsabile del trattamento: AB Internet Networks 2008 SL
  2. Scopo dei dati: controllo SPAM, gestione commenti.
  3. Legittimazione: il tuo consenso
  4. Comunicazione dei dati: I dati non saranno oggetto di comunicazione a terzi se non per obbligo di legge.
  5. Archiviazione dati: database ospitato da Occentus Networks (UE)
  6. Diritti: in qualsiasi momento puoi limitare, recuperare ed eliminare le tue informazioni.