SicherheitSicherheitsmanagement

Malware Mumblehard macht Linux-Server zur Spam-Schleuder

Malware (Bild: Shutterstock / Maksim Kabakou)
1 19 Keine Kommentare

Mumblehard sucht sich gezielt Server, die mit Linux oder BSD betrieben werden und auf denen veraltete Installationen von Wordpress oder Joomla laufen. Die infizierten Systeme werden dann als Spambots missbraucht. Laut Eset besteht zudem eine Beziehung zwischen Yellsoft, das ein Tool für den Mail-Versand anbietet, und der Malware.

Experten des Security-Anbieters Eset haben die als Mumblehard bezeichnete Malware detailliert analysiert und jetzt ihre Ergebnisse vorgestellt. Sie decken in ihrem Bericht auch eine Verbindung zwischen der Internetfirma “Yellsoft” und der Malware-Familie Mumblehard auf, die WordPress und Joomla als Einfallstor nutzt. Sie sucht sich Server, auf denen Linux- oder BSD-Systeme laufen, infiziert sie und versendet dann darüber massenhaft Spam-Mails.

Eset Logo (Grafik: Eset)

“Im Rahmen unserer Nachforschung fiel uns eine steigende Anzahl infizierter Systeme auf, deren Besitzer wir umgehend kontaktierten”, erklärt Eset-Forscher Marc-Etienne M. Léveillé. “Wir identifizierten in sieben Monaten mehr als 8500 IP-Adressen. Mit der Veröffentlichung unserer Analyse-Ergebnisse zeigen wir Betroffenen, womit sie es zu tun haben und wie befallene Server bereinigt werden können.”

Die Schadsoftware nutzt laut Léveillé zunächst Schwachstellen in veralteten Joomla- und WordPress-Installationen. Darüber wird eine Backdoor eingeschleust, die von einem Command-and-Control-Server gesteuert wird. Über die Backdoor wird anschließend ein Spammer-Daemon auf die infizierten Server übertragen.

Kommunikation zwischen den Mumblehard-Modulen und den Command-and-Control-Servern (Grafik: Eset).
Kommunikation zwischen den Mumblehard-Modulen und den Command-and-Control-Servern (Grafik: Eset).

Eset zufolge besteht zudem eine Beziehung zwischen der Malware Mumblehard und der Firma Yellsoft. Diese verkauft die in Perl geschriebene Software “DirectMailer”, die dazu dient, Massen-Mails zu versenden. Interessanterweise liegen die IP-Adressen, die für beide Mumblehard-Komponenten als Command-and-Control-Server genutzt werden, im gleichen Adressbereich wie der Webserver von yellsoft.net. Eset hat zudem auch Raubkopien von DirectMailer gefunden, die bei der Ausführung verdeckt die Mumblehard-Backdoor installieren. Diese Raubkopien wurden vom selben Packer verschleiert, der auch bei den Mumblehard-Komponenten verwendet wird.

Betroffene sollten für alle Nutzer auf Servern auf unbekannte Cronjob-Einträge achten. Dieser Mechanismus wird von Mumblehard genutzt, um die Backdoor alle 15 Minuten zu aktivieren. Unklar ist noch, ob der Spam-Versand das einzige Ziel der Mumblehard-Autoren ist. Theoretisch ist es nämlich durchaus möglich, über die Backdoor andere ausführbare Dateien einzuschleusen – sogar auf tausenden von Servern gleichzeitig.

Tipp: Mit SicherKMU informiert ITespresso Sie laufend über wesentliche Entwicklungen im Bereich IT-Sicherheit und beschreibt Wege, wie der Mittelstand mit diesen Bedrohungen umgehen kann. Dadurch entstehen geldwerte Vorteile für unsere Leser. Abonnieren Sie den RSS-Feed und die Mailingliste von SicherKMU! Diskutieren Sie mit uns und anderen Lesern! Weisen Sie Ihre Kollegen auf SicherKMU hin.

SicherKMU

Journalist, Chefredakteur von ITespresso.de. Sucht immer nach Möglichkeiten und Wegen, wie auch kleine Firmen vom rasanten Fortschritt in der IT profitieren können. Oder nach Geschäftsmodellen, die IT benutzen, um die Welt zu verbessern - wenigstens ein bisschen.

Folgen