Il malware non scoperto trasforma i server Linux e BSD in botnet di spamming

[ware_item id=33][/ware_item]

mumblehard-botnet


Una nuova famiglia di malware, soprannominata "Mumblehard" dai ricercatori sulla sicurezza, ha infettato con successo server Web in esecuzione su Linux e BSD da oltre cinque anni.

Nonostante sia stato caricato su VirusTotal nel 2009, il malware è rimasto in gran parte inosservato da allora e, negli ultimi sei mesi da solo, ha raddoppiato le sue dimensioni, portando a una botnet in grado di eliminare un'enorme quantità di e-mail di spam.

I ricercatori della società antivirus ESET sono venuti a conoscenza di Mumblehard dopo che un amministratore di sistema ha richiesto aiuto dopo aver scoperto che uno dei loro server era stato inserito nella lista nera per l'invio di spam.

Da allora, ESET ha monitorato la botnet per diversi mesi, scoprendo il suo meccanismo di comando e controllo e 8.867 indirizzi IP univoci collegati, di cui 3.000 sono stati aggiunti solo nelle ultime tre settimane.

Hanno anche scoperto che Mumblehard possiede due componenti chiave: uno responsabile dell'operazione spam e un altro che funge da backdoor. Si è scoperto che entrambi i componenti sono stati scritti usando Perl e contengono lo stesso packer personalizzato scritto nel linguaggio assembly.

In un rapporto di 23 pagine pubblicato da ESET, i ricercatori hanno scritto:

“Il malware destinato ai server Linux e BSD sta diventando sempre più complesso. Il fatto che gli autori abbiano utilizzato un packer personalizzato per nascondere il codice sorgente Perl è alquanto sofisticato. Tuttavia, non è sicuramente così complesso come l'operazione Windigo che abbiamo documentato nel 2014. Tuttavia, è preoccupante che gli operatori di Mumblehard siano attivi da molti anni senza interruzioni. "

Ulteriori indagini su Mumblehard sembrano collegarlo a Yellsoft, una società che vende DirectMailer, un sistema automatizzato di distribuzione e-mail che consente all'utente di inviare messaggi in modo anonimo.

DirectMailer, che è anche scritto in Perl e gira su sistemi di tipo UNIX, è disponibile per $ 240, sebbene sia interessante notare che gli sviluppatori si collegano effettivamente a un sito che offre una copia incrinata del software. Come se ciò non fosse abbastanza losco, notano anche che non sono in grado di fornire alcun supporto tecnico per le versioni piratate del software.

Ecco, i ricercatori di ESET hanno successivamente scoperto che la copia incrinata del software contiene la backdoor di Mumblehard, il che significa che una volta installato, l'operatore della botnet può quindi inviare spam e traffico proxy attraverso il dispositivo infetto. Non è noto se la versione ufficiale di DirectMailer contenga il malware.

I ricercatori stanno continuando ad analizzare come Mumblehard si installa su un sistema e attualmente credono che, oltre al software piratato DirectMailer, i sistemi potrebbero anche essere a rischio se eseguono una versione vulnerabile dei sistemi di gestione dei contenuti Joomla o WordPress.

Pertanto, il consiglio di ESET agli amministratori di sistema è ovvio: mantieni i sistemi operativi e le applicazioni completamente aggiornati con le patch e assicurati di eseguire il software di sicurezza fornito da un fornitore affidabile.

Gli amministratori possono anche cercare lavori cron inspiegabili in esecuzione su server: Mumblehard li usa per chiamare home al suo comando e controllare i server esattamente ogni 15 minuti.

Inoltre, la backdoor si trova in genere all'interno delle cartelle / tmp o / var / tmp e può essere annullata montando quelle directory con il flag noexec.

Immagine in primo piano: Derek Quantrell / Public Domain Pictures.net

Il malware non scoperto trasforma i server Linux e BSD in botnet di spamming
admin Author
Sorry! The Author has not filled his profile.