Un logiciel malveillant non découvert transforme les serveurs Linux et BSD en réseaux de robots de spam

[ware_item id=33][/ware_item]

botnets mumblehard


Une nouvelle famille de logiciels malveillants, surnommée «Mumblehard» par des chercheurs en sécurité, infecte avec succès des serveurs Web fonctionnant sous Linux et BSD depuis plus de cinq ans..

Bien qu'il ait été téléchargé sur VirusTotal en 2009, le logiciel malveillant est resté largement non détecté depuis et, au cours des six derniers mois seulement, a doublé de taille, ce qui a conduit à un botnet capable de diffuser une énorme quantité de courriers indésirables..

Les chercheurs de la société antivirus ESET ont découvert Mumblehard pour la première fois après qu'un administrateur système eut demandé de l'aide après avoir découvert qu'un de leurs serveurs avait été mis sur liste noire pour avoir envoyé du spam..

Depuis lors, ESET surveille le botnet depuis plusieurs mois, découvrant son mécanisme de commande et de contrôle ainsi que 8 867 adresses IP uniques qui lui sont connectées, dont 3 000 ont été ajoutées au cours des trois dernières semaines seulement.

Ils ont également découvert que Mumblehard possède deux composants clés - l'un qui est responsable de l'opération de spam et l'autre qui agit comme une porte dérobée. Les deux composants ont été trouvés en utilisant Perl et contiennent le même packer personnalisé écrit en langage assembleur.

Dans un rapport de 23 pages publié par ESET, les chercheurs ont écrit:

«Les logiciels malveillants ciblant les serveurs Linux et BSD deviennent de plus en plus complexes. Le fait que les auteurs aient utilisé un packer personnalisé pour masquer le code source de Perl est quelque peu sophistiqué. Cependant, ce n'est certainement pas aussi complexe que l'opération Windigo que nous avons documentée en 2014. Néanmoins, il est inquiétant que les opérateurs de Mumblehard soient actifs depuis de nombreuses années sans interruption. »

Une enquête plus approfondie sur Mumblehard semble le lier à Yellsoft, une société vendant DirectMailer, un système de distribution de courrier électronique automatisé qui permet à l'utilisateur d'envoyer des messages de manière anonyme.

DirectMailer, qui est également écrit en Perl et fonctionne sur des systèmes de type UNIX, est disponible pour 240 $, bien qu'il soit intéressant de noter que les développeurs ont effectivement un lien vers un site proposant une copie piratée du logiciel. Comme si ce n'était pas assez louche, ils notent également qu'ils ne sont pas en mesure de fournir un support technique pour les versions piratées du logiciel.

Et voilà, les chercheurs d'ESET ont découvert par la suite que la copie piratée du logiciel contient la porte dérobée Mumblehard, ce qui signifie qu'une fois qu'elle est installée, l'opérateur du botnet peut ensuite envoyer du spam et du trafic proxy via le périphérique infecté. On ne sait pas si la version officielle de DirectMailer contient le malware.

Les chercheurs continuent d'analyser comment Mumblehard s'installe sur un système et pensent actuellement qu'au-delà du logiciel piraté DirectMailer, les systèmes peuvent également être à risque s'ils exécutent une version vulnérable des systèmes de gestion de contenu Joomla ou WordPress..

Par conséquent, les conseils d'ESET aux administrateurs de systèmes sont évidents - gardez les systèmes d'exploitation et les applications entièrement mis à jour avec des correctifs et assurez-vous d'exécuter les logiciels de sécurité fournis par un fournisseur réputé.

Les administrateurs peuvent également rechercher les tâches cron inexpliquées s'exécutant sur les serveurs - Mumblehard les utilise pour appeler à la maison ses serveurs de commande et de contrôle exactement toutes les 15 minutes.

De plus, la porte dérobée se trouve généralement dans les dossiers / tmp ou / var / tmp et peut être annulée en montant ces répertoires avec l'indicateur noexec.

Image en vedette: Derek Quantrell / Public Domain Pictures.net

Un logiciel malveillant non découvert transforme les serveurs Linux et BSD en réseaux de robots de spam
admin Author
Sorry! The Author has not filled his profile.