Ha aparecido de la nada un nuevo malware para Linux y tiene a los expertos desconcertados: lo han llamado Auto-Color, lo detectaron por primera vez a principios del noviembre pasado y desde entonces le vienen siguiendo la pista, sin demasiado éxito en cuanto a su origen o método concreto de infección.
Según cuentan investigadores de Palo Alto Networks, Auto-Color se ha utilizado en gran medida para infectar servidores en universidades y gobiernos en América del Norte y Asia. Sin embargo, desconocen por ahora cómo se realiza la infección, si bien se mantiene la máxima habitual en estos casos, y es que el malware debe ser ejecutado de manera expresa en la máquina.
Una vez introducido en el sistema, entonces sí, Auto-Color facilita el acceso remoto completo al atacante. Lo más peliagudo es que incluso habiéndolo detectado, es muy complicado de eliminar sin utilizar un software especializado, aseguran los investigadores. Por supuesto, ese software incluye soluciones propias de la compañía, preparadas ya para afrontar este problema.
Auto-Color es una pieza de malware potente y curiosa la mismo tiempo, ya que permite al atacante crear un shell inverso, ejecutar comandos para recopilar información del sistema, crear y modificar archivos, ejecutar aplicaciones, convertir el dispositivo en un proxy y hasta desinstalar el propio malware, el cual evita su detección de varias formas: usando nombres de archivo simples, ocultando sus conexiones…
El informe de Palo Alto Networks se se refiere a Auto-Color como una backdoor, pese a sostener que desconocen los vectores concretos de infección; pero a fin de cuentas estamos ante el malware habitual en estos casos: se introduce a través de una puerta trasera aprovechándose vaya usted a saber de qué vulnerabilidades, aplica una escalada de permisos y otorga acceso al sistema infectado.
«No sabemos cómo el ejecutable de malware inicial alcanza sus objetivos, pero la víctima debe ejecutar el archivo explícitamente en su máquina Linux», detalla el informe, lo cual confirma que Auto-Color no se ejecuta mediante explotación remota, sino que requiere que el usuario lo ejecute manualmente en su sistema. Esto refuerza la hipótesis de que el vector de infección probablemente implique ingeniería social, phishing y técnicas similares.
A todo eso, lo han llamado Auto-Color porque así es como se nombra a sí mismo, una vez instalado en el sistema. Antes de eso, los ejecutables originales encontrados usan nombres genéricos como door o egg, entre otros.
La entrada Auto-Color, un nuevo malware para Linux al acecho de universidades y gobiernos es original de MuyLinux
