Un nouveau malware Linux « Auto-Color » permet un accès à distance total

Linux hackers vuln

Un nouveau malware Linux, baptisé Auto-Color, cible activement les universités et les organisations gouvernementales en Amérique du Nord et en Asie. Identifié par Unit 42 de Palo Alto Networks, Auto-Color permet aux attaquants d’obtenir un accès persistant aux systèmes compromis, rendant sa détection et sa suppression particulièrement difficiles.

Caractéristiques clés d’Auto-Color

  • Lorsqu’il est exécuté avec des privilèges root, Auto-Color installe une bibliothèque malveillante, se renomme en /var/log/cross/auto-color et modifie /etc/ld.preload pour assurer sa persistance. S’il est lancé sans accès root, il fonctionne avec des capacités limitées.
  • Le malware se dissimule sous des noms de fichiers trompeurs comme « door » ou « egg », chiffre ses communications avec son serveur de commande et contrôle (C2) et modifie les processus système pour masquer sa présence, notamment en manipulant /proc/net/tcp.
  • Une fois actif, Auto-Color se connecte à un serveur distant, permettant aux attaquants d’exécuter des commandes, modifier des fichiers système, ouvrir des shells inversés et utiliser la machine infectée comme proxy pour d’autres attaques. Un kill switch intégré lui permet d’effacer toute trace de sa présence.

Le vecteur d’infection exact reste inconnu, mais l’exécution du malware nécessite une interaction de l’utilisateur sur le système Linux ciblé.

 

Analyse de nos experts

Auto-Color montre que les cybermenaces ciblant Linux deviennent de plus en plus sophistiquées. Contrairement aux botnets classiques ou aux ransomwares automatisés, ce malware a été conçu pour la furtivité, la persistance et un contrôle prolongé des machines infectées. Sa capacité à modifier les processus système et à échapper aux outils de sécurité classiques en fait une menace redoutable.

Le fait que ce malware cible des universités et des institutions gouvernementales indique qu’il ne s’agit pas simplement d’un outil criminel destiné à des attaques massives. Auto-Color semble plutôt être utilisé dans des campagnes de cyber-espionnage avancées, où l’objectif est d’obtenir un accès à long terme plutôt que de simplement causer des dommages visibles.

Lire l’article complet ici.

Restez informé avec nous !

Abonnez-vous à notre newsletter mensuelle sur la cybersécurité pour suivre nos actualités et les tendances du secteur.

Blog

Découvrez nos analyses, articles exclusifs, événements à venir et les dernières actualités sur les cybermenaces.

Medusa Ransomware a frappé plus de 300 infrastructures critiques

Pannes sur X : Dark Storm revendique une cyberattaque

La Suisse impose le signalement des cyberattaques sur les infrastructures critiques

Tous nos articles