Programele malware nedescoperite transformă serverele Linux și BSD în botnete de spam

mumblehard-botnet


O nouă familie de malware, denumită „Mumblehard” de cercetătorii de securitate, infectează cu succes serverele web care rulează pe Linux și BSD de mai bine de cinci ani.

În ciuda faptului că a fost încărcat pe VirusTotal în 2009, malware-ul a fost nedetectat în mare măsură și, în ultimele șase luni, s-a dublat ca dimensiune, ceea ce duce la o botnet capabilă să explodeze o cantitate imensă de emailuri spam..

Cercetătorii de la compania antivirus ESET au luat cunoștință pentru prima dată de Mumblehard, după ce un administrator de sistem a solicitat ajutor după ce a descoperit că unul dintre serverele lor a fost listat pentru a trimite spam.

De atunci, ESET a monitorizat botnetul timp de câteva luni, descoperind mecanismul său de comandă și control, precum și 8.867 de adrese IP unice conectate la acesta, dintre care 3.000 au fost adăugate în ultimele trei săptămâni doar.

Ei au descoperit, de asemenea, că Mumblehard deține două componente cheie – una care este responsabilă pentru operarea de spam și alta care acționează ca o backdoor. S-a constatat că ambele componente au fost scrise folosind Perl și conțin același pachet personalizat scris în limbajul de asamblare.

Într-un raport de 23 de pagini emis de ESET, cercetătorii au scris:

„Programele malware care vizează serverele Linux și BSD devin din ce în ce mai complexe. Faptul că autorii au folosit un pachet personalizat pentru a ascunde codul sursă Perl este oarecum sofisticat. Cu toate acestea, cu siguranță nu este la fel de complex ca operațiunea Windigo pe care am documentat-o ​​în 2014. Cu toate acestea, este îngrijorător faptul că operatorii Mumblehard au fost activi de mai mulți ani fără perturbări. ”

Ancheta ulterioară în Mumblehard pare să o lege cu Yellsoft, o companie care vinde DirectMailer, un sistem automat de distribuție de e-mail care permite utilizatorului să trimită mesaje anonim.

DirectMailer, care este scris și în Perl și rulează pe sisteme de tip UNIX, este disponibil pentru suma de 240 de dolari, deși este interesant de menționat că dezvoltatorii se leagă de fapt la un site care oferă o copie fisurată a software-ului. De parcă acest lucru nu este suficient de umbrit, ei observă, de asemenea, că nu pot oferi niciun suport tehnic pentru versiunile piratate ale software-ului.

Iată, iată că cercetătorii ESET au descoperit ulterior că copia fisurată a software-ului conține backdoor-ul Mumblehard, ceea ce înseamnă că, odată instalat, operatorul botnet poate trimite spam și trafic proxy prin dispozitivul infectat. Nu este cunoscută dacă versiunea oficială a DirectMailer conține sau nu malware.

Cercetătorii continuă să analizeze modul în care Mumblehard se instalează pe un sistem și în prezent consideră că, dincolo de software-ul piratat DirectMailer, sistemele pot fi, de asemenea, expuse riscului dacă rulează o versiune vulnerabilă a sistemelor de gestionare a conținutului Joomla sau WordPress..

Prin urmare, sfaturile ESET pentru administratorii de sisteme sunt evidente – mențineți sistemele de operare și aplicațiile complet actualizate cu patch-uri și asigurați-vă că executați software de securitate furnizat de un furnizor de renume.

Administratorii pot de asemenea să caute lucrări cron neexplicate care rulează pe servere – Mumblehard le folosește pentru a forma acasă la serverele sale de comandă și control exact la fiecare 15 minute..

De asemenea, partea din spate se găsește de obicei în folderele / tmp sau / var / tmp și poate fi anulată prin montarea respectivelor directoare cu steagul noexec.

Imagine prezentată: Derek Quantrell / Public Domain Pictures.net

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map