Selon de nouvelles découvertes de l’unité 42 de Palo Alto Networks, des universités et des organisations gouvernementales d’Amérique du Nord et d’Asie ont été ciblées par un malware Linux jusqu’alors non documenté appelé Auto-Color entre novembre et décembre 2024.

« Une fois installé, Auto-color permet aux acteurs malveillants d’accéder à distance aux machines compromises, ce qui rend sa suppression très difficile sans logiciel spécialisé », a déclaré le chercheur en sécurité Alex Armstrong dans un article technique sur le malware.

Le nom d’Auto-color est basé sur le nom du fichier que la charge utile initiale renomme elle-même après l’installation. On ne sait pas encore comment il atteint ses cibles, mais on sait qu’il nécessite que la victime l’exécute explicitement sur sa machine Linux.

L’un des aspects notables du malware est l’arsenal d’astuces qu’il utilise pour échapper à la détection. Il utilise notamment des noms de fichiers apparemment anodins comme door ou egg, dissimule des connexions de commande et de contrôle (C2) et exploite des algorithmes de chiffrement propriétaires pour masquer les informations de communication et de configuration.

Une fois lancé avec les privilèges root, il procède à l’installation d’un implant de bibliothèque malveillant nommé « libcext.so.2 », se copie et se renomme en /var/log/cross/auto-color, et apporte des modifications à « /etc/ld.preload » pour établir la persistance sur l’hôte.

« Si l’utilisateur actuel ne dispose pas des privilèges root, le logiciel malveillant ne procédera pas à l’installation de l’implant de bibliothèque évasive sur le système », a déclaré Armstrong. « Il procédera à autant que possible dans ses phases ultérieures sans cette bibliothèque. »

L’implant de bibliothèque est équipé pour intercepter passivement les fonctions utilisées dans libc pour intercepter l’ appel système open() , qu’il utilise pour masquer les communications C2 en modifiant “/proc/net/tcp”, un fichier qui contient des informations sur toutes les connexions réseau actives. Une technique similaire a été adoptée par un autre malware Linux appelé Symbiote .

Il empêche également la désinstallation du malware en protégeant le fichier « /etc/ld.preload » contre toute modification ou suppression ultérieure.

Auto-color procède ensuite à la prise de contact avec un serveur C2, accordant à l’opérateur la possibilité de générer un shell inversé, de collecter des informations système, de créer ou de modifier des fichiers, d’exécuter des programmes, d’utiliser la machine comme proxy pour la communication entre une adresse IP distante et une adresse IP cible spécifique, et même de se désinstaller au moyen d’un kill switch.

« Une fois exécuté, le malware tente de recevoir des instructions à distance d’un serveur de commande qui peut créer des portes dérobées de type reverse shell sur le système de la victime », a expliqué Armstrong. « Les acteurs malveillants compilent et chiffrent séparément chaque adresse IP de serveur de commande à l’aide d’un algorithme propriétaire. »