PumaBot: nueva botnet en Go ataca dispositivos IoT con Linux

Los dispositivos IoT basados en Linux están siendo blanco de una nueva y sofisticada botnet llamada PumaBot, desarrollada en el lenguaje de programación Go. Esta amenaza se propaga a través de ataques de fuerza bruta contra servicios SSH, con el objetivo de escalar rápidamente su infraestructura, distribuir malware adicional y establecer persistencia en los sistemas comprometidos.

Según un informe técnico publicado por Darktrace y compartido con The Hacker News, PumaBot no realiza escaneos aleatorios en Internet, sino que obtiene una lista predefinida de objetivos desde un servidor de comando y control (C2). Posteriormente, ejecuta ataques de fuerza bruta SSH para obtener acceso remoto, recibir comandos maliciosos y establecer mecanismos de persistencia mediante servicios del sistema.

¿Cómo funciona la botnet PumaBot?

El proceso de infección de PumaBot se basa en varias etapas:

• Obtención de IPs vulnerables: el malware se conecta a ssh.ddos-cc[.]org, desde donde descarga una lista de direcciones IP con el puerto SSH abierto.
• Fuerza bruta SSH: intenta acceder a estas IPs utilizando credenciales por defecto o contraseñas débiles.
• Evasión de honeypots: PumaBot incorpora verificaciones para evitar sistemas trampa, incluyendo la búsqueda de la cadena "Pumatronix", un fabricante de cámaras de vigilancia.
• Filtrado de información y persistencia: una vez que compromete un dispositivo, recolecta información básica del sistema y crea un servicio systemd persistente, disfrazado como redis.service o mysqI.service (una variante maliciosa de mysql).
• Minería ilícita de criptomonedas: ejecuta comandos como xmrig y networkxm, indicativos de minería de Monero u otras criptomonedas en segundo plano.

Componentes adicionales del ecosistema malicioso

El análisis de Darktrace identificó otros binarios y scripts usados como parte de una campaña más amplia vinculada a PumaBot:

• ddaemon: puerta trasera en Go que descarga y ejecuta el binario networkxm desde /usr/src/bao/ y ejecuta el script No tienes permitido ver enlaces. Registrate o Entra a tu cuenta.
• networkxm: herramienta de fuerza bruta SSH que replica la funcionalidad inicial del malware.
• No tienes permitido ver enlaces. Registrate o Entra a tu cuenta: descarga el script No tienes permitido ver enlaces. Registrate o Entra a tu cuenta desde 1.lusyn[.]xyz, lo ejecuta con permisos máximos y borra el historial de bash.
• No tienes permitido ver enlaces. Registrate o Entra a tu cuenta: obtiene un archivo malicioso pam_unix.so y un ejecutable llamado 1, reemplazando componentes legítimos del sistema.
• pam_unix.so: rootkit que roba credenciales interceptando inicios de sesión exitosos y los guarda en /usr/bin/con.txt.
• 1: binario que monitorea y exfiltra el archivo con.txt al servidor C2.

Recomendaciones para proteger sistemas Linux e IoT frente a PumaBot

Dado el comportamiento similar al de un gusano y la capacidad de evasión que presenta PumaBot, los administradores de sistemas deben implementar medidas preventivas de seguridad como:

• Monitorear intentos de inicio de sesión SSH fallidos y registrar actividad inusual.
• Auditar servicios systemd en busca de nombres sospechosos como redis.service o mysqI.service.
• Revisar el archivo authorized_keys para detectar claves SSH no autorizadas.
• Restringir el acceso SSH mediante reglas estrictas de firewall.
• Filtrar tráfico HTTP con encabezados anómalos, como X-API-KEY: jieruidashabi.

En conclusión, PumaBot representa una amenaza emergente en el ecosistema de ciberseguridad, especialmente para entornos que utilizan Linux en dispositivos IoT. Su capacidad para automatizar ataques SSH, establecer persistencia mediante técnicas legítimas y ejecutar funciones de minería ilegal lo convierte en una herramienta altamente peligrosa. Las organizaciones deben fortalecer sus prácticas de seguridad SSH, monitorear servicios activos y mantener políticas de actualización y endurecimiento de sistemas para prevenir infecciones.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Dragora vive_? rindete al team gautuno o muere

Ella es la gata del equipo... y cuentan las malas lenguas...
que es"la jefa del negocio"...

jajajajajaj q atrevidos

No tienes permitido ver enlaces. Registrate o Entra a tu cuentaDragora vive_? rindete al team gautuno o muere

Mi katana está afilada, mi espíritu es inquebrantable. ¡Fíjate bien a quien amenazas o haré que la historia recuerde este duelo!


Pd. Solid Water soy 100% Team Gato  .

Saludos apreciado AXCESS!!

oshe sister y brother por que no crean una sección del team gatuno oculta para socializar