Malware Mumblehard macht Linux-Server zur Spam-Schleuder

SicherheitSicherheitsmanagement
Malware (Bild: Shutterstock / Maksim Kabakou)

Experten des Security-Anbieters Eset haben die als Mumblehard bezeichnete Malware detailliert analysiert und jetzt ihre Ergebnisse vorgestellt. Sie decken in ihrem Bericht auch eine Verbindung zwischen der Internetfirma “Yellsoft” und der Malware-Familie Mumblehard auf, die WordPress und Joomla als Einfallstor nutzt. Sie sucht sich Server, auf denen Linux- oder BSD-Systeme laufen, infiziert sie und versendet dann darüber massenhaft Spam-Mails.

Eset Logo (Grafik: Eset)

“Im Rahmen unserer Nachforschung fiel uns eine steigende Anzahl infizierter Systeme auf, deren Besitzer wir umgehend kontaktierten”, erklärt Eset-Forscher Marc-Etienne M. Léveillé. “Wir identifizierten in sieben Monaten mehr als 8500 IP-Adressen. Mit der Veröffentlichung unserer Analyse-Ergebnisse zeigen wir Betroffenen, womit sie es zu tun haben und wie befallene Server bereinigt werden können.”

Die Schadsoftware nutzt laut Léveillé zunächst Schwachstellen in veralteten Joomla- und WordPress-Installationen. Darüber wird eine Backdoor eingeschleust, die von einem Command-and-Control-Server gesteuert wird. Über die Backdoor wird anschließend ein Spammer-Daemon auf die infizierten Server übertragen.

Kommunikation zwischen den Mumblehard-Modulen und den Command-and-Control-Servern (Grafik: Eset).
Kommunikation zwischen den Mumblehard-Modulen und den Command-and-Control-Servern (Grafik: Eset).

Eset zufolge besteht zudem eine Beziehung zwischen der Malware Mumblehard und der Firma Yellsoft. Diese verkauft die in Perl geschriebene Software “DirectMailer”, die dazu dient, Massen-Mails zu versenden. Interessanterweise liegen die IP-Adressen, die für beide Mumblehard-Komponenten als Command-and-Control-Server genutzt werden, im gleichen Adressbereich wie der Webserver von yellsoft.net. Eset hat zudem auch Raubkopien von DirectMailer gefunden, die bei der Ausführung verdeckt die Mumblehard-Backdoor installieren. Diese Raubkopien wurden vom selben Packer verschleiert, der auch bei den Mumblehard-Komponenten verwendet wird.

Betroffene sollten für alle Nutzer auf Servern auf unbekannte Cronjob-Einträge achten. Dieser Mechanismus wird von Mumblehard genutzt, um die Backdoor alle 15 Minuten zu aktivieren. Unklar ist noch, ob der Spam-Versand das einzige Ziel der Mumblehard-Autoren ist. Theoretisch ist es nämlich durchaus möglich, über die Backdoor andere ausführbare Dateien einzuschleusen – sogar auf tausenden von Servern gleichzeitig.

Tipp: Mit SicherKMU informiert ITespresso Sie laufend über wesentliche Entwicklungen im Bereich IT-Sicherheit und beschreibt Wege, wie der Mittelstand mit diesen Bedrohungen umgehen kann. Dadurch entstehen geldwerte Vorteile für unsere Leser. Abonnieren Sie den RSS-Feed und die Mailingliste von SicherKMU! Diskutieren Sie mit uns und anderen Lesern! Weisen Sie Ihre Kollegen auf SicherKMU hin.

SicherKMU

Lesen Sie auch :
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen