Uma nova botnet chamada PumaBot está mirando dispositivos IoT baseados em Linux para roubar credenciais SSH e minerar criptomoedas de forma ilegal. Desenvolvida em Go, a botnet realiza ataques de força bruta para acessar instâncias SSH e expandir sua rede de dispositivos comprometidos. Diferente de outras ameaças, o PumaBot não realiza varreduras abertas na internet. Em vez disso, obtém uma lista de alvos a partir de um servidor de comando e controle (C2) e tenta invadir as máquinas por meio de senhas fracas.

Após o acesso, estabelece persistência usando arquivos de serviço do sistema, como um falso redis.service. O malware também verifica se o sistema não é um honeypot e procura por menções à fabricante “Pumatronix”, o que pode indicar um foco específico ou uma tentativa de evitar seus equipamentos. Uma vez dentro do sistema, ele se instala em /lib/redis para parecer legítimo e cria um serviço persistente no systemd. Em seguida, executa comandos como “xmrig” e “networkxm”, típicos de mineração de criptomoedas. Os comandos são executados sem caminhos completos, sugerindo que os arquivos são baixados ou descompactados em outras partes do sistema.

Além disso, o PumaBot instala outros componentes, como o “ddaemon”, um backdoor em Go, e scripts como “installx.sh” e “jc.sh”, que substituem bibliotecas legítimas por versões maliciosas. Um dos arquivos, “pam_unix.so”, atua como rootkit, interceptando logins bem-sucedidos e salvando as credenciais em um arquivo oculto. O malware ainda monitora alterações nesse arquivo para exfiltrar os dados capturados. Devido à sua capacidade de propagação automática, recomenda-se monitorar tentativas de login SSH, revisar serviços systemd, aplicar regras rígidas de firewall e evitar o uso de cabeçalhos HTTP incomuns.