Investigadores de ciberseguridad de Darktrace han descubierto una nueva amenaza maliciosa denominada PumaBot, desarrollada en el lenguaje de programación Go. Este sofisticado malware está específicamente diseñado para atacar sistemas Linux y dispositivos IoT, utilizando técnicas avanzadas de compromiso a través de conexiones SSH para infiltrarse en los sistemas objetivo.
Metodología de ataque y características distintivas
A diferencia de las botnets convencionales, PumaBot implementa un enfoque altamente selectivo para identificar sus objetivos. El malware recibe listas específicas de direcciones IP desde su servidor de comando y control (C2) a través del dominio ssh.ddos-cc[.]org, procediendo después a realizar ataques de fuerza bruta contra el puerto SSH (22) de los sistemas seleccionados. Un aspecto particularmente notable es la búsqueda específica del término «Pumatronix» en los sistemas comprometidos, lo que sugiere una campaña dirigida contra dispositivos de videovigilancia y cámaras de tráfico de este fabricante.
Técnicas de persistencia y ocultamiento
Una vez que logra acceder al sistema, PumaBot ejecuta un elaborado proceso de persistencia multi-etapa. El malware realiza una verificación inicial del entorno mediante el comando uname -a para detectar honeypots, posteriormente oculta su ejecutable principal haciéndolo pasar por un componente legítimo de Redis en el directorio /lib/redis. Para garantizar su permanencia en el sistema, establece un servicio systemd que se camufla como redis.service o mysqI.service.
Arsenal de componentes maliciosos
El análisis técnico ha revelado diversos módulos maliciosos integrados en PumaBot:
– Scripts de auto-actualización para mantener el malware vigente
– Rootkits PAM que modifican el archivo crítico pam_unix.so
– Demonios especializados en el robo de credenciales
– Mineros de criptomonedas (xmrig y networkxm)
Sistema de exfiltración de datos
El componente más preocupante es el módulo PAM modificado, diseñado para interceptar credenciales SSH tanto locales como remotas, almacenándolas en un archivo con.txt. Un demonio especializado transmite posteriormente esta información sensible al servidor C2, eliminando meticulosamente cualquier rastro de actividad maliciosa en el dispositivo comprometido.
Aunque la inaccesibilidad actual del servidor C2 ha limitado la comprensión completa de los objetivos finales de esta botnet, la presencia de mineros de criptomonedas sugiere un componente de criptojacking en la operación. Los expertos en seguridad recomiendan implementar autenticación de múltiples factores para accesos SSH, monitorizar activamente los procesos del sistema y desplegar soluciones modernas de detección de intrusiones para protegerse contra esta amenaza emergente. Es fundamental mantener actualizados todos los sistemas y realizar auditorías regulares de seguridad para minimizar el riesgo de compromiso.
