Maio 29, 2025
Rico Olivetti Hackers, Novidade

Novo botnet PumaBot tem como alvo dispositivos Linux IoT para roubar credenciais SSH e minerar criptomoedas

Dispositivos de Internet das Coisas (IoT) baseados em Linux embarcado se tornaram alvo de uma nova botnet chamada PumaBot .

Escrito em Go, o botnet é projetado para conduzir ataques de força bruta contra instâncias SSH para expandir em tamanho e escala e entregar malware adicional aos hosts infectados.

“Em vez de escanear a internet, o malware recupera uma lista de alvos de um servidor de comando e controle (C2) e tenta usar força bruta para obter credenciais SSH”, afirmou a Darktrace em uma análise compartilhada com o The Hacker News. “Ao obter acesso, ele recebe comandos remotos e estabelece persistência usando arquivos de serviço do sistema.”

O malware botnet foi projetado para obter acesso inicial por meio de força bruta bem-sucedida, aplicando credenciais SSH em uma lista de endereços IP coletados com portas SSH abertas. A lista de endereços IP a serem alvos é recuperada de um servidor externo (“ssh.ddos-cc[.]org”).

Como parte de suas tentativas de força bruta, o malware também realiza diversas verificações para determinar se o sistema é adequado e não se trata de um honeypot. Além disso, verifica a presença da string “Pumatronix”, fabricante de sistemas de câmeras de vigilância e trânsito, indicando uma tentativa de isolá-los ou excluí-los.

O malware então coleta e exfiltra informações básicas do sistema para o servidor C2, após o que ele configura a persistência e executa os comandos recebidos do servidor.

“O malware se autograva em /lib/redis, tentando se disfarçar como um arquivo de sistema legítimo do Redis”, disse a Darktrace. “Em seguida, ele cria um serviço systemd persistente em /etc/systemd/system, chamado redis.service ou mysqI.service (observe que mysql é escrito com I maiúsculo), dependendo do que foi codificado no malware.”

Ao fazer isso, permite que o malware dê a impressão de ser inofensivo e também sobreviva a reinicializações. Dois dos comandos executados pela botnet são “xmrig” e “networkxm”, indicando que os dispositivos comprometidos estão sendo usados ​​para minerar criptomoedas de forma ilícita.

“Acredito que o objetivo final seja implantar um criptominerador, dada a referência ao XMRig. No entanto, como o C2 estava inativo no momento da análise, não é possível determinar quais comandos estavam sendo enviados ou recebidos”, disse Tara Gould, líder de pesquisa de ameaças da Darktrace, ao The Hacker News. “É possível que outra carga útil, ou outro criptominerador, estivesse sendo enviado pelo C2.”

No entanto, os comandos são iniciados sem especificar os caminhos completos, um aspecto que indica que os payloads provavelmente são baixados ou descompactados em outro local do host infectado. A Darktrace afirmou que sua análise da campanha revelou outros binários relacionados que supostamente são implantados como parte de uma campanha mais ampla.

  • ddaemon, um backdoor baseado em Go que recupera o binário “networkxm” em “/usr/src/bao/networkxm” e executa o script de shell “installx.sh”
  • networkxm, uma ferramenta de força bruta SSH que funciona de forma semelhante ao estágio inicial do botnet, buscando uma lista de senhas de um servidor C2 e tenta se conectar via SSH em uma lista de endereços IP de destino
  • installx.sh, que é usado para recuperar outro script de shell “jc.sh” de “1.lusyn[.]xyz”, conceder a ele permissões de leitura, gravação e execução para todos os níveis de acesso, executar o script e limpar o histórico do bash
  • jc.sh, que é configurado para baixar um arquivo malicioso “pam_unix.so” de um servidor externo e usá-lo para substituir a contraparte legítima instalada na máquina, bem como recuperar e executar outro binário chamado “1” do mesmo servidor
  • pam_unix.so, que atua como um rootkit que rouba credenciais interceptando logins bem-sucedidos e gravando-os no arquivo “/usr/bin/con.txt”
  • 1, que é usado para monitorar o arquivo “con.txt” sendo gravado ou movido para “/usr/bin/” e então exfiltrar seu conteúdo para o mesmo servidor

Considerando que os recursos de força bruta SSH do malware botnet lhe conferem capacidades semelhantes às de um worm, os usuários precisam ficar atentos a atividades anômalas de login SSH, especialmente tentativas de login com falha, auditar os serviços systemd regularmente, revisar os arquivos authorized_keys para verificar a presença de chaves SSH desconhecidas, aplicar regras rígidas de firewall para limitar a exposição e filtrar solicitações HTTP com cabeçalhos não padrão, como X-API-KEY: jieruidashabi.

“O botnet representa uma ameaça SSH persistente baseada em Go que utiliza automação, força bruta de credenciais e ferramentas nativas do Linux para obter e manter controle sobre sistemas comprometidos”, disse a Darktrace.

“Ao imitar binários legítimos (por exemplo, Redis), abusar do systemd para persistência e incorporar lógica de impressão digital para evitar detecção em honeypots ou ambientes restritos, ele demonstra a intenção de escapar das defesas.”