Pesquisadores da Palo Alto Networks Unit 42 identificaram um novo malware para Linux, chamado Auto-Color, que concede acesso remoto total a sistemas comprometidos. Entre novembro e dezembro de 2024, o malware foi utilizado em ataques contra universidades e órgãos governamentais na América do Norte e Ásia. Segundo os especialistas, sua remoção é extremamente difícil sem o uso de ferramentas especializadas. O nome Auto-Color vem do arquivo que o malware renomeia após a instalação.

Embora o vetor inicial de infecção ainda seja desconhecido, sabe-se que o código precisa ser executado manualmente pelo usuário em um sistema Linux. Uma de suas características mais preocupantes é o uso de técnicas avançadas para evitar detecção, incluindo nomes de arquivos inofensivos, como door ou egg, além da ocultação de conexões com servidores de comando e controle (C2) por meio de criptografia proprietária. Uma vez executado com privilégios de root, o malware instala uma biblioteca maliciosa chamada libcext.so.2, copia-se para /var/log/cross/auto-color e modifica o arquivo /etc/ld.preload para garantir persistência no sistema.

Se não obtiver privilégios administrativos, o malware executa funções limitadas, mas ainda perigosas. Após estabelecer conexão com um servidor de comando remoto, o malware permite que os atacantes ativem um shell reverso, colete informações do sistema, modifique arquivos, execute programas e utilize a máquina infectada como proxy para se comunicar com outros alvos. O Auto-Color também possui um mecanismo de autodestruição, permitindo que os hackers o removam silenciosamente caso necessário.