Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Redes de Bots Botnet PumaBot

Botnet PumaBot

Por Mezo em Redes de Bots
Traduzir Para:

Uma botnet Linux recém-descoberta, chamada PumaBot, está causando estragos em dispositivos IoT embarcados. Escrito em Go, esse malware utiliza métodos de força bruta para quebrar credenciais SSH, implantando payloads maliciosos assim que o acesso é obtido. Ao contrário das botnets tradicionais que varrem a internet indiscriminadamente, o PumaBot se concentra em endereços IP específicos obtidos diretamente de seu servidor de Comando e Controle (C2).

Segmentação de precisão: uma mudança tática na exploração da IoT

O PumaBot se destaca por extrair listas de alvos IP selecionadas de seu servidor C2 (ssh.ddos-cc.org), o que lhe permite conduzir ataques altamente focados. Essa abordagem evita varreduras amplas na internet e sugere a intenção de comprometer organizações ou dispositivos específicos. Ele até inspeciona os dispositivos em busca da string "Pumatronix" — uma pista que pode indicar o direcionamento de sistemas de câmeras de vigilância e tráfego produzidos por este fornecedor.

Do reconhecimento à raiz: o ciclo de vida de ataque do PumaBot

Após a escolha do dispositivo, o PumaBot realiza tentativas de login SSH por força bruta na porta 22. Se bem-sucedido, ele executa 'uname -a' para coletar informações do sistema e verificar se o dispositivo não é um honeypot. Após essa verificação, a botnet:

  • Grava seu binário principal (jierui) em /lib/redis
  • Instala um serviço systemd persistente (redis.service)
  • Injeta sua própria chave SSH em authorized_keys para acesso de longo prazo, mesmo após limpezas do sistema

Além da infecção: execução de comandos e roubo de dados

Com o acesso protegido, o PumaBot pode executar outros comandos, incluindo:

  • Implantando novas cargas úteis
  • Exfiltração de dados confidenciais
  • Facilitando o movimento lateral dentro das redes
  • As cargas úteis detectadas incluem:
  • Scripts de autoatualização
  • Rootkits PAM que substituem pam_unix.so
  • Um binário daemon (chamado 1) atuando como um observador de arquivos

O módulo PAM malicioso registra credenciais SSH e as armazena em con.txt. O binário 1 monitora esse arquivo e, uma vez encontrado, o exfiltra para o servidor C2 antes de apagá-lo do sistema infectado — uma ação calculada para apagar seus rastros.

Escopo desconhecido, alto risco: expansão silenciosa do PumaBot

Os pesquisadores ainda não determinaram a escala ou a taxa de sucesso da campanha do PumaBot. A extensão das listas de IPs alvo permanece incerta. No entanto, o foco da botnet em infiltrações mais profundas na rede, em vez de atividades de baixo nível, como ataques DDoS, sugere que ela representa uma ameaça significativa à infraestrutura corporativa e crítica.

Fique à frente: defendendo-se contra o PumaBot e seus semelhantes

Para reduzir o risco de comprometimento pelo PumaBot ou ameaças semelhantes:

  • Atualizar firmware em todos os dispositivos IoT
  • Alterar credenciais padrão
  • Implante firewalls e restrinja o acesso SSH
  • Isole dispositivos IoT em redes segmentadas

Práticas proativas de segurança são essenciais para manter os agentes de botnet afastados e proteger redes corporativas de violações mais profundas.

Tendendo

Mais visto

Carregando...