Malware Mumblehard missbraucht Linux-Server als Spambots

Als Einfallstor nutzt sie gezielt veraltete Installationen von WordPress oder Joomla. Anfällig sind laut einer Analyse des Sicherheitsanbieters Eset sowohl Linux- als auch BSD-Server. Zudem soll eine Beziehung zwischen Yellsoft, das ein Tool für Massen-Mail-Versand anbietet, und Mumblehard bestehen.

von Björn Greif am , 17:27 Uhr

Der Sicherheitsanbieter Eset hat eine detaillierte Analyse der Malware-Familie Mumblehard veröffentlicht, die anfällige Linux-Server zum massenhaften Versand von Spam-Mails missbraucht. Dazu sucht sich die Malware gezielt mit Linux oder BSD betriebene Server, auf denen veraltete Installationen von WordPress oder Joomla laufen. Diese nutzt sie anschließend als Einfallstor.

Spam (Bild: Shutterstock)„Im Rahmen unserer Nachforschung fiel uns eine steigende Anzahl infizierter Systeme auf, deren Besitzer wir umgehend kontaktierten“, erklärt Eset-Forscher Marc-Etienne M. Léveillé. „Wir identifizierten in sieben Monaten mehr als 8500 IP-Adressen. Mit der Veröffentlichung unserer Analyse-Ergebnisse zeigen wir Betroffenen, womit sie es zu tun haben und wie befallene Server bereinigt werden können.“

Die Schadsoftware nutzt laut Léveillé zunächst Schwachstellen in veralteten Joomla- und WordPress-Installationen. Darüber wird eine Backdoor eingeschleust, die von einem Command-and-Control-Server gesteuert wird. Durch diese Hintertür wird anschließend ein Spammer-Daemon auf die infizierten Server übertragen.

Bei ihrer Untersuchung ist den Sicherheitsexperten von Eset auch eine Verbindung zwischen Mumblehard und der Firma Yellsoft aufgefallen. Diese verkauft die in Perl geschriebene Software „DirectMailer“, die dazu dient, Massen-Mails zu versenden. Interessanterweise liegen die IP-Adressen, die für beide Mumblehard-Komponenten als Command-and-Control-Server genutzt werden, im gleichen Adressbereich wie der Webserver von yellsoft.net. Eset hat zudem auch Raubkopien von DirectMailer gefunden, die bei der Ausführung verdeckt die Mumblehard-Backdoor installieren. Diese Raubkopien wurden vom selben Packer verschleiert, der auch bei den Mumblehard-Komponenten verwendet wird.

Betroffene sollten für alle Nutzer auf Servern auf unbekannte Cronjob-Einträge achten. Dieser Mechanismus wird von Mumblehard verwendet, um die Backdoor alle 15 Minuten zu aktivieren. Unklar ist noch, ob der Spam-Versand das einzige Ziel der Mumblehard-Autoren ist. Theoretisch ist es nämlich durchaus möglich, über die Hintertür andere ausführbare Dateien einzuschleusen – sogar auf tausenden von Servern gleichzeitig.

Kommunikation zwischen den Mumblehard-Modulen und den Command-and-Control-Servern (Grafik: Eset).Kommunikation zwischen den Mumblehard-Modulen und den Command-and-Control-Servern (Grafik: Eset).

[mit Material von Peter Marwan, ITespresso.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Eset, Linux, Security, Spam

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Malware Mumblehard missbraucht Linux-Server als Spambots

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *