Hallo liebe Leserinnen und Leser,
ich bin Tobias Goldberg, euer besorgter Journalist in Deutschland, und ich habe heute eine beunruhigende Nachricht für euch. Eine neue Linux-Malware namens „Auto-Color“ sorgt für Aufsehen und stellt eine ernsthafte Bedrohung für Universitäten und Regierungsorganisationen in Nordamerika und Asien dar.
Auto-Color wurde erstmals von den Sicherheitsexperten von Palo Alto Networks‘ Unit 42 entdeckt. Diese Malware ermöglicht es Angreifern, vollständigen Fernzugriff auf kompromittierte Systeme zu erhalten, was ihre Entfernung ohne spezialisierte Software äußerst schwierig macht. Die Malware wurde zwischen November und Dezember 2024 in verschiedenen Angriffen beobachtet und ist besonders schwer zu erkennen und zu entfernen.
Ein bemerkenswerter Aspekt von Auto-Color ist die Vielzahl von Tricks, die sie einsetzt, um der Entdeckung zu entgehen. Dazu gehört die Verwendung scheinbar harmloser Dateinamen wie „door“ oder „egg“, das Verschleiern von Command-and-Control (C2)-Verbindungen und die Nutzung proprietärer Verschlüsselungsalgorithmen zur Maskierung von Kommunikations- und Konfigurationsinformationen. Sobald die Malware mit Root-Rechten ausgeführt wird, installiert sie eine bösartige Bibliothek namens „libcext.so.2“, kopiert und benennt sich selbst in „/var/log/cross/auto-color“ um und nimmt Änderungen an „/etc/ld.preload“ vor, um auf dem Host-System persistieren zu können.
Die Malware ist in der Lage, eine Vielzahl von schädlichen Aktionen durchzuführen, darunter das Öffnen einer Reverse-Shell, das Sammeln von Systeminformationen, das Erstellen oder Ändern von Dateien, das Ausführen von Programmen und die Nutzung des infizierten Systems als Proxy für die Kommunikation zwischen einer Remote-IP-Adresse und einer Ziel-IP-Adresse. Auto-Color verfügt auch über eine eingebaute „Kill-Switch“-Funktion, die es den Angreifern ermöglicht, alle Spuren der Infektion sofort zu löschen, um Untersuchungen zu erschweren.
Die Entdeckung von Auto-Color zeigt, wie raffiniert und zielgerichtet moderne Malware-Angriffe geworden sind. Es ist wichtig, dass wir wachsam bleiben und unsere Systeme regelmäßig auf Anomalien überprüfen, um solche Bedrohungen frühzeitig zu erkennen und zu bekämpfen.
Mit besorgten Grüßen, Tobias Goldberg
Quelle: