Una tetera de día, un minero de criptomonedas de noche: cómo PumaBot convierte los gadgets en una fuente de ingresos
Los hackers no vinieron por tus archivos, sino por tu potencia de procesamiento.
Los dispositivos basados en Embedded Linux, utilizados en la infraestructura del Internet de las cosas (IoT), se convirtieron en el objetivo de una nueva campaña maliciosa que utiliza una botnet llamada PumaBot. Según los expertos de Darktrace, esta herramienta, creada en el lenguaje Go, está diseñada para realizar ataques de fuerza bruta contra credenciales de acceso por SSH y puede desplegar software malicioso adicional en los sistemas infectados.
A diferencia de los escáneres convencionales, la botnet no busca víctimas en Internet, sino que recibe una lista predefinida de direcciones IP desde el servidor de control. Luego intenta sistemáticamente encontrar usuarios y contraseñas para acceder por SSH, llevando a cabo el ataque e implantándose en el sistema. Una vez obtenida el control, la botnet recopila información básica del dispositivo y la envía de vuelta al servidor de control.
Entre las verificaciones adicionales se incluyen intentos de determinar si el sistema es un honeypot, así como la búsqueda de la cadena «Pumatronix», lo que podría indicar un ataque dirigido contra un fabricante de cámaras de videovigilancia o bien la exclusión de tales dispositivos del listado de objetivos.
Para ocultarse, el malware se guarda en un directorio asociado con el legítimo Redis y crea un servicio persistente de systemd. El nombre del servicio puede ser «redis.service» o «mysqI.service», donde en lugar de la letra «l» se usa intencionadamente una «I» mayúscula. Este comportamiento permite mantener la persistencia tras el reinicio y reduce las sospechas durante un análisis superficial.
Las principales actividades de PumaBot están relacionadas con la minería no autorizada de criptomonedas. Los comandos ejecutados, como «xmrig» y «networkxm», indican el uso de los recursos de cómputo de los dispositivos infectados con este propósito. Sin embargo, los comandos se ejecutan sin rutas explícitas, lo que sugiere que los archivos ejecutables se descargan o extraen en otras ubicaciones del sistema.
Los especialistas identificaron otros componentes de la botnet que operan dentro de la misma campaña. Entre ellos se encuentra el backdoor «ddaemon», que descarga el binario «networkxm» y lanza un script de instalación; la herramienta de fuerza bruta SSH «networkxm», que usa una lista de contraseñas del servidor de control; «installx.sh», diseñado para ejecutar otro script llamado «jc.sh» y limpiar el historial del terminal; «jc.sh», que reemplaza la biblioteca del sistema «pam_unix.so» por una versión maliciosa con el fin de interceptar contraseñas y cargar el binario «1»; y, finalmente, el propio «1», que monitorea la aparición de un archivo con credenciales interceptadas y envía su contenido a un servidor remoto.
Los mecanismos de propagación de PumaBot le otorgan características de gusano: la automatización, el uso de utilidades nativas de Linux, el sigilo y la adaptación al entorno le permiten evadir eficazmente la detección. Esto es especialmente relevante al imitar archivos binarios legítimos y evadir honeypots, lo que demuestra un alto grado de sofisticación en la arquitectura de la botnet.
Las huellas digitales son tu debilidad, y los hackers lo saben