Аналітики Palo Alto Networks повідомляють про появу нової Linux-шахрайства Auto-Color, яка атакувала університети та урядові організації в Північній Америці та Азії.

«Після встановлення Auto-Color надає зловмисникам повний віддалений доступ до зламаних машин, тому видалити його без спеціалізованого ПЗ вкрай складно», – розповідають дослідники.

Auto-Color названо за ім’ям файлу, у який перейменовується вихідне корисне навантаження малварі після встановлення. Наразі невідомо, як саме бекдор проникає в системи жертв, але повідомляється, що він вимагає від жертви явного запуску на Linux-машині.

Відмінною особливістю цієї малварі є арсенал прийомів, які вона використовує для ухилення від виявлення. Серед них: використання нешкідливих на перший погляд імен файлів (наприклад, door або egg), приховування C&C-комунікацій і використання власних алгоритмів шифрування для маскування комунікаційної та конфігураційної інформації.

Після запуску з привілеями root Auto-Color встановлює шкідливий імплант libcext.so.2, копіює себе і перейменовує в /var/log/cross/auto-color, а також вносить зміни в файл /etc/ld.preload, щоб закріпитися на зараженому хості.

“Якщо поточний користувач не володіє правами root, шкідлива програма не буде продовжувати установку імплантату в систему. На наступних етапах вона робитиме все можливе без цієї бібліотеки”, – кажуть експерти.

Після описаних вище дій Auto-Color зв’язується з керувальним сервером, даючи змогу своїм операторам: запускати реверс-шелл, збирати системну інформацію, створювати і змінювати файли, запускати програми, використовувати заражену машину як проксі та навіть знищити шкідливе програмне забезпечення за допомогою спеціального «рубильника» в коді. Остання функція дає змогу зловмисникам видаляти сліди зараження зі зламаних машин, що може серйозно ускладнити розслідування інциденту.