{"id":1020,"date":"2025-05-29T13:49:41","date_gmt":"2025-05-29T13:49:41","guid":{"rendered":"https:\/\/oerlabs.com.br\/blog\/?p=1020"},"modified":"2025-05-29T13:49:45","modified_gmt":"2025-05-29T13:49:45","slug":"novo-botnet-pumabot-tem-como-alvo-dispositivos-linux-iot-para-roubar-credenciais-ssh-e-minerar-criptomoedas","status":"publish","type":"post","link":"https:\/\/oerlabs.com.br\/blog\/2025\/05\/29\/novo-botnet-pumabot-tem-como-alvo-dispositivos-linux-iot-para-roubar-credenciais-ssh-e-minerar-criptomoedas\/","title":{"rendered":"Novo botnet PumaBot tem como alvo dispositivos Linux IoT para roubar credenciais SSH e minerar criptomoedas"},"content":{"rendered":"\n

Dispositivos de Internet das Coisas (IoT) baseados em Linux embarcado se tornaram alvo de uma nova botnet chamada PumaBot<\/strong> .<\/p>\n\n\n\n

Escrito em Go, o botnet \u00e9 projetado para conduzir ataques de for\u00e7a bruta contra inst\u00e2ncias SSH<\/a> para expandir em tamanho e escala e entregar malware adicional aos hosts infectados.<\/p>\n\n\n\n

“Em vez de escanear a internet, o malware recupera uma lista de alvos de um servidor de comando e controle (C2) e tenta usar for\u00e7a bruta para obter credenciais SSH”, afirmou<\/a> a Darktrace em uma an\u00e1lise compartilhada com o The Hacker News. “Ao obter acesso, ele recebe comandos remotos e estabelece persist\u00eancia usando arquivos de servi\u00e7o do sistema.”<\/p>\n\n\n\n

O malware botnet foi projetado para obter acesso inicial por meio de for\u00e7a bruta bem-sucedida, aplicando credenciais SSH em uma lista de endere\u00e7os IP coletados com portas SSH abertas. A lista de endere\u00e7os IP a serem alvos \u00e9 recuperada de um servidor externo (“ssh.ddos-cc[.]org”).<\/p>\n\n\n\n

Como parte de suas tentativas de for\u00e7a bruta, o malware tamb\u00e9m realiza diversas verifica\u00e7\u00f5es para determinar se o sistema \u00e9 adequado e n\u00e3o se trata de um honeypot. Al\u00e9m disso, verifica a presen\u00e7a da string “Pumatronix”, fabricante de sistemas de c\u00e2meras de vigil\u00e2ncia e tr\u00e2nsito, indicando uma tentativa de isol\u00e1-los ou exclu\u00ed-los.<\/p>\n\n\n\n

O malware ent\u00e3o coleta e exfiltra informa\u00e7\u00f5es b\u00e1sicas do sistema para o servidor C2, ap\u00f3s o que ele configura a persist\u00eancia e executa os comandos recebidos do servidor.<\/p>\n\n\n\n

“O malware se autograva em \/lib\/redis, tentando se disfar\u00e7ar como um arquivo de sistema leg\u00edtimo do Redis”, disse a Darktrace. “Em seguida, ele cria um servi\u00e7o systemd persistente em \/etc\/systemd\/system, chamado redis.service ou mysqI.service (observe que mysql \u00e9 escrito com I mai\u00fasculo), dependendo do que foi codificado no malware.”<\/p>\n\n\n\n

Ao fazer isso, permite que o malware d\u00ea a impress\u00e3o de ser inofensivo e tamb\u00e9m sobreviva a reinicializa\u00e7\u00f5es. Dois dos comandos executados pela botnet s\u00e3o “xmrig” e “networkxm”, indicando que os dispositivos comprometidos est\u00e3o sendo usados \u200b\u200bpara minerar criptomoedas de forma il\u00edcita.<\/p>\n\n\n

\n
\"\"\/<\/a><\/figure>\n<\/div>\n\n\n

“Acredito que o objetivo final seja implantar um criptominerador, dada a refer\u00eancia ao XMRig. No entanto, como o C2 estava inativo no momento da an\u00e1lise, n\u00e3o \u00e9 poss\u00edvel determinar quais comandos estavam sendo enviados ou recebidos”, disse Tara Gould, l\u00edder de pesquisa de amea\u00e7as da Darktrace, ao The Hacker News. “\u00c9 poss\u00edvel que outra carga \u00fatil, ou outro criptominerador, estivesse sendo enviado pelo C2.”<\/p>\n\n\n\n

No entanto, os comandos s\u00e3o iniciados sem especificar os caminhos completos, um aspecto que indica que os payloads provavelmente s\u00e3o baixados ou descompactados em outro local do host infectado. A Darktrace afirmou que sua an\u00e1lise da campanha revelou outros bin\u00e1rios relacionados que supostamente s\u00e3o implantados como parte de uma campanha mais ampla.<\/p>\n\n\n\n

    \n
  • ddaemon, um backdoor baseado em Go que recupera o bin\u00e1rio “networkxm” em “\/usr\/src\/bao\/networkxm” e executa o script de shell “installx.sh”<\/li>\n\n\n\n
  • networkxm, uma ferramenta de for\u00e7a bruta SSH que funciona de forma semelhante ao est\u00e1gio inicial do botnet, buscando uma lista de senhas de um servidor C2 e tenta se conectar via SSH em uma lista de endere\u00e7os IP de destino<\/li>\n\n\n\n
  • installx.sh, que \u00e9 usado para recuperar outro script de shell “jc.sh” de “1.lusyn[.]xyz”, conceder a ele permiss\u00f5es de leitura, grava\u00e7\u00e3o e execu\u00e7\u00e3o para todos os n\u00edveis de acesso, executar o script e limpar o hist\u00f3rico do bash<\/li>\n\n\n\n
  • jc.sh, que \u00e9 configurado para baixar um arquivo malicioso “pam_unix.so” de um servidor externo e us\u00e1-lo para substituir a contraparte leg\u00edtima instalada na m\u00e1quina, bem como recuperar e executar outro bin\u00e1rio chamado “1” do mesmo servidor<\/li>\n\n\n\n
  • pam_unix.so, que atua como um rootkit que rouba credenciais interceptando logins bem-sucedidos e gravando-os no arquivo “\/usr\/bin\/con.txt”<\/li>\n\n\n\n
  • 1, que \u00e9 usado para monitorar o arquivo “con.txt” sendo gravado ou movido para “\/usr\/bin\/” e ent\u00e3o exfiltrar seu conte\u00fado para o mesmo servidor<\/li>\n<\/ul>\n\n\n\n

    Considerando que os recursos de for\u00e7a bruta SSH do malware botnet lhe conferem capacidades semelhantes \u00e0s de um worm, os usu\u00e1rios precisam ficar atentos a atividades an\u00f4malas de login SSH, especialmente tentativas de login com falha, auditar os servi\u00e7os systemd regularmente, revisar os arquivos authorized_keys para verificar a presen\u00e7a de chaves SSH desconhecidas, aplicar regras r\u00edgidas de firewall para limitar a exposi\u00e7\u00e3o e filtrar solicita\u00e7\u00f5es HTTP com cabe\u00e7alhos n\u00e3o padr\u00e3o, como X-API-KEY: jieruidashabi.<\/p>\n\n\n\n

    “O botnet representa uma amea\u00e7a SSH persistente baseada em Go que utiliza automa\u00e7\u00e3o, for\u00e7a bruta de credenciais e ferramentas nativas do Linux para obter e manter controle sobre sistemas comprometidos”, disse a Darktrace.<\/p>\n\n\n\n

    “Ao imitar bin\u00e1rios leg\u00edtimos (por exemplo, Redis), abusar do systemd para persist\u00eancia e incorporar l\u00f3gica de impress\u00e3o digital para evitar detec\u00e7\u00e3o em honeypots ou ambientes restritos, ele demonstra a inten\u00e7\u00e3o de escapar das defesas.”<\/p>\n\n\n\n

    \n","protected":false},"excerpt":{"rendered":"

    Dispositivos de Internet das Coisas (IoT) baseados em Linux embarcado se tornaram alvo de uma nova botnet chamada PumaBot . Escrito em Go, o botnet \u00e9 projetado para conduzir ataques de for\u00e7a bruta contra inst\u00e2ncias SSH para expandir em tamanho e escala e entregar malware adicional aos hosts infectados. “Em vez de escanear a internet, o malware recupera uma […]<\/p>\n","protected":false},"author":1,"featured_media":1021,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"nf_dc_page":"","sfsi_plus_gutenberg_text_before_share":"","sfsi_plus_gutenberg_show_text_before_share":"","sfsi_plus_gutenberg_icon_type":"","sfsi_plus_gutenberg_icon_alignemt":"","sfsi_plus_gutenburg_max_per_row":"","footnotes":""},"categories":[7,6],"tags":[],"class_list":["post-1020","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hackers","category-novidade"],"_links":{"self":[{"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/posts\/1020","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/comments?post=1020"}],"version-history":[{"count":1,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/posts\/1020\/revisions"}],"predecessor-version":[{"id":1022,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/posts\/1020\/revisions\/1022"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/media\/1021"}],"wp:attachment":[{"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/media?parent=1020"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/categories?post=1020"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/tags?post=1020"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}