{"id":1598563,"date":"2025-02-26T21:58:39","date_gmt":"2025-02-26T21:58:39","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-nuevo-malware-linux-auto-color-otorga-a-los-piratas-informaticos-acceso-remoto-completo-a-sistemas-comprometidos\/"},"modified":"2025-02-26T21:58:43","modified_gmt":"2025-02-26T21:58:43","slug":"el-nuevo-malware-linux-auto-color-otorga-a-los-piratas-informaticos-acceso-remoto-completo-a-sistemas-comprometidos","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-nuevo-malware-linux-auto-color-otorga-a-los-piratas-informaticos-acceso-remoto-completo-a-sistemas-comprometidos\/","title":{"rendered":"El nuevo malware Linux &#8216;Auto-Color&#8217; otorga a los piratas inform\u00e1ticos acceso remoto completo a sistemas comprometidos"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">26 de febrero de 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Seguridad de Linux \/ Endpoint<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/El-nuevo-malware-Linux-Auto-Color-otorga-a-los-piratas-informaticos.png\" style=\"display: block;  text-align: center; clear: left; float: left;\"><\/a><\/div>\n<p>Las universidades y las organizaciones gubernamentales en Am\u00e9rica del Norte y Asia han sido atacadas por un malware Linux previamente indocumentado llamado Auto-Color entre noviembre y diciembre de 2024, seg\u00fan nuevos hallazgos de la Unidad 42 de Palo Alto Networks.<\/p>\n<p>&#8220;Una vez instalado, el color autom\u00e1tico permite a los actores de amenaza el acceso remoto completo a las m\u00e1quinas comprometidas, lo que hace que sea muy dif\u00edcil de eliminar sin software especializado&#8221;, el investigador de seguridad Alex Armstrong <a rel=\"noopener nofollow\" href=\"https:\/\/unit42.paloaltonetworks.com\/new-linux-backdoor-auto-color\/\" target=\"_blank\">dicho<\/a> En una redacci\u00f3n t\u00e9cnica del malware.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/encrypted-attacks-report-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/La-estafa-malvada-utiliza-anuncios-falsos-de-Google-para-secuestrar.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Auto-Color se llama as\u00ed seg\u00fan el nombre del archivo, la carga \u00fatil inicial se renombra en s\u00ed misma la instalaci\u00f3n. Actualmente no se sabe c\u00f3mo alcanza sus objetivos, pero lo que se sabe es que requiere que la v\u00edctima la ejecute expl\u00edcitamente en su m\u00e1quina Linux.<\/p>\n<p>Un aspecto notable del malware es el arsenal de los trucos que emplea para evadir la detecci\u00f3n. Esto incluye el uso de nombres de archivos aparentemente inocuos como puerta o huevo, ocultar conexiones de comando y control (C2) y aprovechar los algoritmos de cifrado patentados para enmascarar la informaci\u00f3n de comunicaci\u00f3n e configuraci\u00f3n.<\/p>\n<p>Una vez lanzado con privilegios ra\u00edz, procede a instalar un implante de biblioteca malicioso llamado &#8220;libcext.so.2,&#8221; copia y se renombra a\/var\/log\/cross\/auto-coloror, y realiza modificaciones a &#8220;\/etc\/ld.preload&#8221; para establecer la persistencia en el host.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/1740607117_470_El-nuevo-malware-Linux-Auto-Color-otorga-a-los-piratas-informaticos.png\" style=\"display: block;  text-align: center; clear: left; float: left;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/1740607117_470_El-nuevo-malware-Linux-Auto-Color-otorga-a-los-piratas-informaticos.png\" alt=\"\" border=\"0\" data-original-height=\"827\" data-original-width=\"728\"\/><\/a><\/div>\n<p>&#8220;Si el usuario actual carece de privilegios ra\u00edz, el malware no continuar\u00e1 con la instalaci\u00f3n del implante de biblioteca evasiva en el sistema&#8221;, dijo Armstrong. &#8220;Proceder\u00e1 a hacer lo m\u00e1s posible en sus fases posteriores sin esta biblioteca&#8221;.<\/p>\n<p>El implante de la biblioteca est\u00e1 equipado con las funciones pasivamente de gancho utilizadas en <a rel=\"noopener nofollow\" href=\"https:\/\/www.man7.org\/linux\/man-pages\/man7\/libc.7.html\" target=\"_blank\">libc<\/a> para interceptar el <a rel=\"noopener nofollow\" href=\"https:\/\/www.man7.org\/linux\/man-pages\/man2\/open.2.html\" target=\"_blank\">Abrir () llamada del sistema<\/a>que utiliza para ocultar las comunicaciones C2 modificando &#8220;\/proc\/net\/tcp&#8221;, un archivo que contiene informaci\u00f3n sobre todas las conexiones de red activas. Una t\u00e9cnica similar fue adoptada por otro malware Linux llamado Symbiote.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/saas-security-v1-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/1738386538_999_La-estafa-malvada-utiliza-anuncios-falsos-de-Google-para-secuestrar.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Tambi\u00e9n evita la desinstalaci\u00f3n del malware al proteger el &#8220;\/etc\/ld.preload&#8221; contra una modificaci\u00f3n o eliminaci\u00f3n adicionales.<\/p>\n<p>Auto-Color luego procede a contactar a un servidor C2, otorgando al operador la capacidad de generar un shell inverso, recopilar informaci\u00f3n del sistema, crear o modificar archivos, ejecutar programas, usar la m\u00e1quina como proxy para la comunicaci\u00f3n entre una direcci\u00f3n IP remota y una direcci\u00f3n IP de destino espec\u00edfica, e incluso desinstalarlo por medio de un interruptor de matar.<\/p>\n<p>&#8220;Tras la ejecuci\u00f3n, el malware intenta recibir instrucciones remotas de un servidor de comandos que puede crear traseros de shell inverso en el sistema de la v\u00edctima&#8221;, dijo Armstrong. &#8220;Los actores de amenaza compilan por separado y encriptan cada IP del servidor de comandos utilizando un algoritmo patentado&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/02\/new-linux-malware-auto-color-grants.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80226 de febrero de 2025\ue804Ravie LakshmananSeguridad de Linux \/ Endpoint Las universidades y las organizaciones gubernamentales en Am\u00e9rica<\/p>\n","protected":false},"author":1,"featured_media":1598564,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[3348,4657,4656,4661,282683,4664,1793,13086,6214,273784,18038,36,4669,273783,4654,273782,4659,4653,4655,480,19785,6213,51115,246983,4665,246984,5527,455,239484],"class_list":["post-1598563","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-acceso","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-autocolor","tag-como-hackear","tag-completo","tag-comprometidos","tag-informaticos","tag-las-noticias-del-hacker","tag-linux","tag-los","tag-malware","tag-malware-de-ransomware","tag-noticias-ciberneticas","tag-noticias-de-hacker","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-nuevo","tag-otorga","tag-piratas","tag-remoto","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-sistemas","tag-violacion","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1598563","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1598563"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1598563\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1598564"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1598563"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1598563"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1598563"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}