Um novo malware de botnet para Linux baseado em Go, chamado PumaBot, está forçando brutalmente as credenciais SSH em dispositivos IoT embarcados para implantar payloads.
A natureza direcionada do PumaBot também fica evidente pelo fato de que ele mira IPs específicos com base em listas recebidas de um servidor de comando e controle (C2) em vez de realizar varreduras mais amplas na internet.
A Darktrace documentou o PumaBot em um relatório que oferece uma visão geral do fluxo de ataque da botnet, indicadores de comprometimento (IoCs) e regras de detecção.
O malware recebe uma lista de IPs-alvo do seu C2 (ssh.ddos-cc.org) e tenta realizar tentativas de login por brute-force na porta 22 para acessar SSH abertos.
Durante esse processo, ele verifica a presença de uma string "Pumatronix", que a Darktrace acredita poder corresponder ao foco em sistemas de câmeras de vigilância e tráfego pelo fornecedor.
Uma vez estabelecidos os alvos, o malware recebe credenciais para testar contra eles.
Se bem-sucedido, ele executa 'uname -a' para obter informações sobre o ambiente e verificar se o dispositivo alvo não é um honeypot.
Em seguida, ele escreve seu binário principal (jierui) em /lib/redis e instala um serviço systemd (redis.service) para garantir persistência após reinicializações do dispositivo.
Finalmente, ele injeta seu próprio SSH no arquivo 'authorized_keys' para manter o acesso, mesmo no caso de uma limpeza que remova a infecção primária.
Caso a infecção permaneça ativa, o PumaBot pode receber comandos para tentar exfiltração de dados, introduzir novos payloads ou roubar dados úteis em movimentos laterais.
Os payloads maliciosos observadas pela Darktrace incluem scripts que se atualizam, rootkits PAM que substituem o 'pam_unix.so' legítimo e daemons (arquivo binário "1").
O módulo PAM malicioso coleta detalhes locais e remotos de login SSH e os armazena em um arquivo de texto (con.txt).
O binário "watcher" (1) monitora constantemente esse arquivo de texto e, em seguida, o exfiltra para o C2.
Após a exfiltração, o arquivo de texto é apagado do host infectado para eliminar quaisquer vestígios da atividade maliciosa.
O tamanho e o sucesso do PumaBot são atualmente desconhecidos, e a Darktrace não menciona quão extensas são as listas de IPs alvo.
Esse novo malware de botnet se destaca por lançar ataques direcionados que podem abrir caminho para uma infiltração mais profunda em redes corporativas, em vez de usar os IoTs infectados diretamente para crimes cibernéticos de menor escala, como ataques de negação de serviço distribuído (DoS) ou redes de proxy.
Para se defender contra ameaças de botnets, atualize os IoTs para a versão mais recente do firmware disponível, altere as credenciais padrão, coloque-os atrás de firewalls e mantenha-os em redes separadas isoladas de sistemas valiosos.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...