PumaBot: La Nuova Botnet che Sfrutta SSH per Rubare Criptovalute e Dati dai Dispositivi Linux-IoT

News
Visite: 143

Negli ultimi mesi è stata scoperta una nuova minaccia informatica rivolta ai dispositivi IoT basati su Linux: la botnet PumaBot. Questa botnet, sviluppata in Go, si distingue per la sua capacità di compromettere dispositivi attraverso attacchi brute-force contro SSH, ampliando così rapidamente la propria rete di dispositivi infetti e diffondendo ulteriori malware.

A differenza di molte botnet tradizionali che scansionano l’intera rete Internet, PumaBot riceve una lista di target specifici da un server command-and-control (C2). Dopo aver ottenuto le credenziali SSH tramite brute-force su dispositivi con porta SSH aperta, la botnet stabilisce un accesso remoto persistente, sfruttando file di servizio di sistema per garantirsi la sopravvivenza anche dopo il riavvio del dispositivo.

PumaBot esegue verifiche per accertarsi che il sistema non sia un honeypot e controlla la presenza del termine “Pumatronix”, probabilmente per individuare o escludere determinati dispositivi di videosorveglianza e controllo del traffico. Una volta ottenuto il controllo, il malware raccoglie informazioni di sistema e le invia al server C2, poi si copia nella directory /lib/redis per mascherarsi da file legittimo. Per la persistenza, crea un servizio systemd chiamato redis.service o mysqI.service (con una "I" maiuscola al posto della "l" per confondere ulteriormente).

Una delle principali finalità di PumaBot è il mining illecito di criptovaluta, come dimostrato dall’esecuzione dei comandi xmrig e networkxm sui dispositivi compromessi. Tuttavia, la modularità della botnet permette di scaricare ed eseguire ulteriori payload, tra cui rootkit e script malevoli.

Componenti chiave individuati nella campagna
  • ddaemon: backdoor in Go
  • networkxm: strumento di brute-force SSH
  • installx.sh e jc.sh: script per scaricare ulteriori rootkit
  • pam_unix.so: modulo malevolo che intercetta le credenziali di login e le scrive su un file poi esfiltrato

Considerando la natura worm-like di PumaBot, gli amministratori sono invitati a monitorare attentamente i tentativi di login SSH falliti, controllare i servizi systemd sospetti e limitare l’esposizione della porta SSH tramite firewall e filtri. La minaccia rappresentata da PumaBot dimostra ancora una volta come le botnet evolute sfruttino automazione, tecniche di offuscamento e strumenti nativi Linux per sfuggire ai controlli e monetizzare i dispositivi compromessi tramite mining di criptovalute e furto di credenziali.

Pin It
, , , ,

Cyber Security UP

CybersecurityUP è una BU di Fata Informatica.
Dal 1994 eroghiamo servizi di sicurezza IT per grandi organizzazioni sia civili che militari.
  • Ethical Hacking
  • Red Teaming
  • Penetration Testing
  • Security Code Review
  • SOC 24x7
  • Formazione specialistica
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Lunedì-venerdì
09:30 - 13:00
14:00 - 18:30

+39 06 4080 0490
amministrazione@fatainformatica.com

Contattaci

Necessiti dei nostri servizi di Cybersecurity?

Privacy policy

Ti invitiamo prendere visione della nostra
privacy policy  per la protezione dei tuoi dati personali.
Disclaimer
Alcune delle foto presenti su Cybersecurityup.it potrebbero essere state prese da Internet e quindi valutate di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla pubblicazione, lo possono segnalare via email alla redazione che provvederà prontamente alla rimozione delle immagini utilizzate.
© 2025 Fata Informatica. Tutti i diritti riservati.