Los dispositivos integrados de Internet de las cosas (IoT) basado en Linux se han convertido en el objetivo de una nueva botnet llamada Pumabot.
El malware PumaBot obtiene el acceso inicial a través de credenciales SSH y de una lista de direcciones IP con puertos SSH abiertos. La lista de direcciones IP a Target se recupera de un servidor externo ("ssh.ddos-cc[.]org").
Escrito en GO, esta botnet está desarrollada para realizar ataques de fuerza bruta contra instancias SSH para expandirse en tamaño y escala y entregar malware adicional a los hosts infectados. "En lugar de escanear Internet, el malware recupera una lista de objetivos del servidor de y control (C2) y realiza intentos de fuerzabruta con credenciales SSH", dijo Darktrace en un análisis. "Al obtener acceso, recibe comandos remotos y establece persistencia utilizando archivos del sistema".
Como parte de sus intentos de fuerza bruta, el malware también realiza varias comprobaciones para determinar si el sistema es adecuado y no es un honeypot. Además, verifica la presencia de la cadena "Pumatronix", un fabricante de sistemas de vigilancia y cámara de tráfico, lo que indica un intento de destacarlos específicamente o excluirlos.
El malware luego procede a recopilar y exfiltrar la información básica del sistema al servidor C2, después de lo cual establece la persistencia y ejecuta los comandos recibidos del servidor.
El malware se escribe a /lib/redis, intentando disfrazarse como un archivo de sistema Redis legítimo. Luego crea un servicio de Systemd persistente en /etc/systemd/system, llamado "Redis.Service" o "mysqI.service" (MySQL pero con I mayúscula) dependiendo de lo que se haya codificado en el malware.
Al hacerlo, le permite al malware dar la impresión de que es benigno y también sobrevive a los reinicios. Dos de los comandos ejecutados por la Botnet son "XMRIG" y "NetworkXM", lo que indica que los dispositivos comprometidos se están utilizando para minar criptomonedas de manera ilícita.
"Parece que el objetivo final es desplegar un criptominador, dada la referencia a XMRIG, sin embargo, dado que C2 estaba inactivo en el momento del análisis, no se puede determinar qué comandos se estaban enviando o recibiendo", dijo Tara Gould, líder de investigación de amenazas en Darktrace.
Darktrace dijo que su análisis de la campaña descubrió otros binarios relacionados que se dice que se implementan como parte de una campaña más amplia,
Fuente: THN