Un nouveau malware Linux « Auto-Color » permet un accès à distance total

Linux hackers vuln

Un nouveau malware Linux, baptisé Auto-Color, cible activement les universités et les organisations gouvernementales en Amérique du Nord et en Asie. Identifié par Unit 42 de Palo Alto Networks, Auto-Color permet aux attaquants d’obtenir un accès persistant aux systèmes compromis, rendant sa détection et sa suppression particulièrement difficiles.

Caractéristiques clés d’Auto-Color

  • Lorsqu’il est exécuté avec des privilèges root, Auto-Color installe une bibliothèque malveillante, se renomme en /var/log/cross/auto-color et modifie /etc/ld.preload pour assurer sa persistance. S’il est lancé sans accès root, il fonctionne avec des capacités limitées.
  • Le malware se dissimule sous des noms de fichiers trompeurs comme « door » ou « egg », chiffre ses communications avec son serveur de commande et contrôle (C2) et modifie les processus système pour masquer sa présence, notamment en manipulant /proc/net/tcp.
  • Une fois actif, Auto-Color se connecte à un serveur distant, permettant aux attaquants d’exécuter des commandes, modifier des fichiers système, ouvrir des shells inversés et utiliser la machine infectée comme proxy pour d’autres attaques. Un kill switch intégré lui permet d’effacer toute trace de sa présence.

Le vecteur d’infection exact reste inconnu, mais l’exécution du malware nécessite une interaction de l’utilisateur sur le système Linux ciblé.

 

Analyse de nos experts

Auto-Color montre que les cybermenaces ciblant Linux deviennent de plus en plus sophistiquées. Contrairement aux botnets classiques ou aux ransomwares automatisés, ce malware a été conçu pour la furtivité, la persistance et un contrôle prolongé des machines infectées. Sa capacité à modifier les processus système et à échapper aux outils de sécurité classiques en fait une menace redoutable.

Le fait que ce malware cible des universités et des institutions gouvernementales indique qu’il ne s’agit pas simplement d’un outil criminel destiné à des attaques massives. Auto-Color semble plutôt être utilisé dans des campagnes de cyber-espionnage avancées, où l’objectif est d’obtenir un accès à long terme plutôt que de simplement causer des dommages visibles.

Lire l’article complet ici.

Restez informé avec nous !

Abonnez-vous à notre newsletter mensuelle sur la cybersécurité pour suivre nos actualités et les tendances du secteur.

Blog

Découvrez nos analyses, articles exclusifs, événements à venir et les dernières actualités sur les cybermenaces.

Medusa Ransomware a frappé plus de 300 infrastructures critiques

  • Nouvelles

Pannes sur X : Dark Storm revendique une cyberattaque

  • Nouvelles

La Suisse impose le signalement des cyberattaques sur les infrastructures critiques

  • Nouvelles

Tous nos articles

Avez-vous été victime de pirates informatiques ? D'une violation de données ? Appelez-nous ou écrivez-nous, nous savons ce qu'il faut faire.

+ 41 22 588 65 90 (24/7 ligne directe)
emergency@zendata.security

Pendant que nous traitons votre demande, voici quelques actions que vous pouvez déjà entreprendre pour prévenir une catastrophe.

Guide des bonnes pratiques

Depuis 2011, nous soutenons les entreprises, les gouvernements et les organisations éducatives. Nous collaborons avec des organisations internationales et les forces de l’ordre pour vous fournir des réponses rapides et efficaces face aux cybermenaces.

Restez au courant de l’actualité, des cybermenaces émergentes, des dernières tendances, des événements à venir et de nos analyses en vous abonnant à notre newsletter mensuelle dédiée à la cybersécurité.

Bureaux

Genève

Rte de Frontenex, 62Bis,

1207, Genève

Suisse

Bahreïn

Bureau 1201,

Almoayyed TowerAI, Seef,

Bahreïn

Abu Dhabi

Bureau 603, Centro Capital Center,

Abu Dhabi Exhibition Center,

Khaleej Al Arabi St, Abu Dhabi,

UAE

Dubaï

Building Montana,

D84 Zaa’beel Street, Dubai,

UAE

Légal

Politique de confidentialité

Réseaux sociaux

Téléchargements

Guide des bonnes pratiques

DEFCON : Suisse

© Copyright ZENDATA CYBERSECURITY