Malwares não descobertos transforma servidores Linux e BSD em botnets com spam

[ware_item id=33][/ware_item]

mumblehard-botnets


Uma nova família de malware, apelidada de “Mumblehard” pelos pesquisadores de segurança, vem infectando com sucesso servidores da Web em Linux e BSD há mais de cinco anos.

Apesar de ter sido enviado ao VirusTotal em 2009, o malware não foi detectado desde então e, nos últimos seis meses, dobrou de tamanho, levando a uma botnet capaz de enviar uma enorme quantidade de e-mails de spam.

Pesquisadores da empresa de antivírus ESET tomaram conhecimento de Mumblehard depois que um administrador de sistemas solicitou ajuda após descobrir que um de seus servidores estava na lista negra por enviar spam.

Desde então, a ESET monitorou a botnet por vários meses, descobrindo seu mecanismo de comando e controle, além de 8.867 endereços IP exclusivos conectados a ele, dos quais 3.000 foram adicionados apenas nas últimas três semanas..

Eles também descobriram que o Mumblehard possui dois componentes principais - um responsável pela operação de spam e outro que atua como backdoor. Verificou-se que ambos os componentes foram gravados usando Perl e contêm o mesmo empacotador personalizado escrito em linguagem assembly.

Em um relatório de 23 páginas publicado pela ESET, os pesquisadores escreveram:

“O malware direcionado aos servidores Linux e BSD está se tornando cada vez mais complexo. O fato de os autores terem usado um empacotador personalizado para ocultar o código-fonte Perl é um pouco sofisticado. No entanto, definitivamente não é tão complexo quanto a Operação Windigo que documentamos em 2014. No entanto, é preocupante que os operadores Mumblehard estejam ativos por muitos anos sem interrupções. ”

Uma investigação mais aprofundada sobre Mumblehard parece vinculá-lo à Yellsoft, uma empresa que vende o DirectMailer, um sistema automatizado de distribuição de e-mail que permite ao usuário enviar mensagens anonimamente.

O DirectMailer, que também é escrito em Perl e é executado em sistemas do tipo UNIX, está disponível por US $ 240, embora seja interessante notar que os desenvolvedores realmente vinculam a um site que oferece uma cópia quebrada do software. Como se isso não fosse obscuro o suficiente, eles também observam que não podem fornecer suporte técnico para versões piratas do software.

Eis que os pesquisadores da ESET descobriram subseqüentemente que a cópia quebrada do software contém o backdoor Mumblehard, o que significa que, uma vez instalado, o operador da botnet pode enviar tráfego de spam e proxy através do dispositivo infectado. Se a versão oficial do DirectMailer contém ou não o malware não é conhecida.

Os pesquisadores continuam analisando como o Mumblehard se instala em um sistema e atualmente acreditam que, além do software pirata do DirectMailer, os sistemas também podem estar em risco se executar uma versão vulnerável dos sistemas de gerenciamento de conteúdo Joomla ou WordPress..

Portanto, os conselhos da ESET para administradores de sistemas são óbvios - mantenha os sistemas operacionais e aplicativos totalmente atualizados com patches e certifique-se de executar o software de segurança fornecido por um fornecedor respeitável.

Os administradores também podem procurar trabalhos cron inexplicáveis ​​em execução nos servidores - o Mumblehard os usa para ligar para seus servidores de comando e controle exatamente a cada 15 minutos.

Além disso, o backdoor geralmente é encontrado nas pastas / tmp ou / var / tmp e pode ser anulado montando esses diretórios com o sinalizador noexec.

Imagem em destaque: Derek Quantrell / Domínio Público Pictures.net

Malwares não descobertos transforma servidores Linux e BSD em botnets com spam
admin Author
Sorry! The Author has not filled his profile.