Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias Universidades y entidades gubernamentales de América del Norte y Asia bajo ataque de malware
Noticias

Universidades y entidades gubernamentales de América del Norte y Asia bajo ataque de malware

por Dragora
Escrito por Dragora

Investigadores de la Unidad 42 de Palo Alto Networks han identificado una campaña de ciberataques dirigida a universidades y organizaciones gubernamentales en América del Norte y Asia. Entre noviembre y diciembre de 2024, estas instituciones fueron blanco de un malware previamente no documentado llamado Auto-Color, diseñado específicamente para sistemas Linux.

Qué es Auto-Color y cómo funciona

Según el investigador de seguridad Alex Armstrong, Auto-Color otorga a los atacantes acceso remoto completo a las máquinas comprometidas, dificultando su eliminación sin software especializado. Su nombre proviene del archivo que la carga útil inicial renombra tras la instalación. Aunque los expertos aún desconocen el método exacto de infección, se ha confirmado que requiere ejecución manual en el sistema de la víctima.

Este malware es especialmente peligroso debido a sus avanzadas técnicas de evasión. Algunas de sus características más notables incluyen:

  • Uso de nombres de archivo engañosos como “door” o “egg” para evitar ser detectado.
  • Ocultación de comunicaciones de comando y control (C2) a través de métodos avanzados de cifrado.
  • Manipulación de configuraciones del sistema para garantizar la persistencia y dificultar su eliminación.

Proceso de infección y persistencia en el sistema

Si se ejecuta con privilegios de root, Auto-Color instala un implante de biblioteca maliciosa llamado “libcext.so.2”, que se oculta en /var/log/cross/auto-color. Para asegurar su persistencia, modifica /etc/ld.preload, permitiéndole ejecutarse automáticamente en el sistema cada vez que se inicia.

“Si el usuario no tiene privilegios de root, el malware no instala la biblioteca evasiva, pero sigue ejecutando la mayoría de sus funciones de ataque”, explica Armstrong.

El implante de biblioteca modifica funciones esenciales de la biblioteca estándar libc, interceptando la llamada al sistema open(). Mediante esta técnica, altera el archivo /proc/net/tcp, que almacena información sobre todas las conexiones de red activas, evitando así la detección de su tráfico C2. Este método de evasión ya ha sido empleado por otro malware de Linux, conocido como Symbiote.

Además, Auto-Color protege el archivo /etc/ld.preload para evitar que los administradores del sistema lo eliminen o modifiquen, asegurando su persistencia a largo plazo.

Capacidades del malware Auto-Color

Una vez que Auto-Color establece contacto con su servidor de comando y control (C2), otorga a los atacantes un amplio rango de capacidades, que incluyen:

  • Generación de un shell inverso para el control remoto del sistema.
  • Recopilación de información del sistema, como procesos activos y archivos críticos.
  • Creación, modificación y eliminación de archivos en el sistema comprometido.
  • Ejecución de programas maliciosos para facilitar la intrusión y propagación del ataque.
  • Uso de la máquina infectada como proxy, permitiendo la comunicación entre una dirección IP remota y un destino específico.
  • Capacidad de autodesinstalación, lo que dificulta el análisis forense posterior.

“Al ejecutarse, el malware intenta recibir instrucciones remotas de un servidor de comando, lo que le permite crear puertas traseras inversas en la víctima”, señala Armstrong.

Los atacantes compilan y cifran de forma independiente cada dirección IP del servidor C2 mediante un algoritmo de cifrado propietario, lo que añade una capa adicional de dificultad para su rastreo y neutralización.

Conclusión y medidas de mitigación

Auto-Color representa una seria amenaza para entornos Linux en instituciones académicas y gubernamentales. Su capacidad de ocultarse, modificar configuraciones críticas del sistema y persistir en los dispositivos comprometidos lo convierten en un malware altamente sofisticado.

Para mitigar el riesgo de infección, los expertos recomiendan:

  • Actualizar regularmente el sistema operativo y software para cerrar vulnerabilidades explotables.
  • Monitorear conexiones de red sospechosas y analizar actividad inusual en /proc/net/tcp.
  • Evitar ejecutar archivos desconocidos con privilegios elevados.
  • Utilizar herramientas de seguridad avanzadas capaces de detectar modificaciones en archivos críticos del sistema.
  • Implementar soluciones de seguridad de endpoint que monitoreen comportamientos maliciosos en tiempo real.

Dado que Auto-Color requiere ejecución manual en el sistema de la víctima, la educación y concienciación en ciberseguridad son clave para evitar su propagación. Mantener prácticas seguras y contar con soluciones de seguridad proactivas es fundamental para defenderse de este tipo de amenazas avanzadas.

Fuente: The Hacker News

0 Comentar
0
FacebookTwitterPinterestLinkedinEmail

You may also like

Microsoft Copilot eliminado por error en Windows 10...

Vulnerabilidad crítica en Apache Tomcat: CVE-2025-24813

ASUS revoluciona el mercado con monitores que purifican...

Google Gemini reemplaza a Assistant

Mozilla insta a actualizar Firefox para evitar problemas

Facebook: Monetización para creadores

DeepSeek lanza 3FS

Google: encontrar mi dispositivo ahora permite rastrear personas

Steam Guard: La Prueba Definitiva de Seguridad en...

Microsoft advierte sobre campaña de phishing que suplanta...

Dejar Comentario

Guardar mi nombre y email para el próximo comentario

Click to listen highlighted text!