PumaBot: nueva botnet en Go ataca dispositivos IoT con Linux

Iniciado por Dragora, Mayo 28, 2025, 12:46:06 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Mayo 28, 2025, 12:46:06 PM

Los dispositivos IoT basados en Linux están siendo blanco de una nueva y sofisticada botnet llamada PumaBot, desarrollada en el lenguaje de programación Go. Esta amenaza se propaga a través de ataques de fuerza bruta contra servicios SSH, con el objetivo de escalar rápidamente su infraestructura, distribuir malware adicional y establecer persistencia en los sistemas comprometidos.

Según un informe técnico publicado por Darktrace y compartido con The Hacker News, PumaBot no realiza escaneos aleatorios en Internet, sino que obtiene una lista predefinida de objetivos desde un servidor de comando y control (C2). Posteriormente, ejecuta ataques de fuerza bruta SSH para obtener acceso remoto, recibir comandos maliciosos y establecer mecanismos de persistencia mediante servicios del sistema.

¿Cómo funciona la botnet PumaBot?

El proceso de infección de PumaBot se basa en varias etapas:

  • Obtención de IPs vulnerables: el malware se conecta a ssh.ddos-cc[.]org, desde donde descarga una lista de direcciones IP con el puerto SSH abierto.
  • Fuerza bruta SSH: intenta acceder a estas IPs utilizando credenciales por defecto o contraseñas débiles.
  • Evasión de honeypots: PumaBot incorpora verificaciones para evitar sistemas trampa, incluyendo la búsqueda de la cadena "Pumatronix", un fabricante de cámaras de vigilancia.
  • Filtrado de información y persistencia: una vez que compromete un dispositivo, recolecta información básica del sistema y crea un servicio systemd persistente, disfrazado como redis.service o mysqI.service (una variante maliciosa de mysql).
  • Minería ilícita de criptomonedas: ejecuta comandos como xmrig y networkxm, indicativos de minería de Monero u otras criptomonedas en segundo plano.

Componentes adicionales del ecosistema malicioso

El análisis de Darktrace identificó otros binarios y scripts usados como parte de una campaña más amplia vinculada a PumaBot:

  • ddaemon: puerta trasera en Go que descarga y ejecuta el binario networkxm desde /usr/src/bao/ y ejecuta el script You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.
  • networkxm: herramienta de fuerza bruta SSH que replica la funcionalidad inicial del malware.
  • You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login: descarga el script You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login desde 1.lusyn[.]xyz, lo ejecuta con permisos máximos y borra el historial de bash.
  • You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login: obtiene un archivo malicioso pam_unix.so y un ejecutable llamado 1, reemplazando componentes legítimos del sistema.
  • pam_unix.so: rootkit que roba credenciales interceptando inicios de sesión exitosos y los guarda en /usr/bin/con.txt.
  • 1: binario que monitorea y exfiltra el archivo con.txt al servidor C2.

Recomendaciones para proteger sistemas Linux e IoT frente a PumaBot

Dado el comportamiento similar al de un gusano y la capacidad de evasión que presenta PumaBot, los administradores de sistemas deben implementar medidas preventivas de seguridad como:

  • Monitorear intentos de inicio de sesión SSH fallidos y registrar actividad inusual.
  • Auditar servicios systemd en busca de nombres sospechosos como redis.service o mysqI.service.
  • Revisar el archivo authorized_keys para detectar claves SSH no autorizadas.
  • Restringir el acceso SSH mediante reglas estrictas de firewall.
  • Filtrar tráfico HTTP con encabezados anómalos, como X-API-KEY: jieruidashabi.

En conclusión, PumaBot representa una amenaza emergente en el ecosistema de ciberseguridad, especialmente para entornos que utilizan Linux en dispositivos IoT. Su capacidad para automatizar ataques SSH, establecer persistencia mediante técnicas legítimas y ejecutar funciones de minería ilegal lo convierte en una herramienta altamente peligrosa. Las organizaciones deben fortalecer sus prácticas de seguridad SSH, monitorear servicios activos y mantener políticas de actualización y endurecimiento de sistemas para prevenir infecciones.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Mayo 28, 2025, 05:32:16 PM #1
Dragora vive_? rindete al team gautuno o muere
Mayo 28, 2025, 08:11:36 PM #2
Ella es la gata del equipo... y cuentan las malas lenguas...
que es"la jefa del negocio"...
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Mayo 29, 2025, 09:55:30 PM #3
jajajajajaj q atrevidos
Mayo 30, 2025, 07:51:22 PM #4 Ultima modificación: Mayo 30, 2025, 08:10:33 PM por Dragora
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or LoginDragora vive_? rindete al team gautuno o muere


Mi katana está afilada, mi espíritu es inquebrantable. ¡Fíjate bien a quien amenazas o haré que la historia recuerde este duelo!


Pd. Solid Water soy 100% Team Gato  ;D .

Saludos apreciado AXCESS!!
Junio 13, 2025, 11:54:56 PM #5
oshe sister y brother por que no crean una sección del team gatuno oculta para socializar
Imprimir
Ir Arriba Páginas1
Acciones del Usuario