Mumblehard: Malware greift Linux-Server an

Malware (Bild: Shutterstock / Maksim Kabakou)

Die Schadsoftware verwandelt Server mit Linux oder BSD gezielt in Spambots. Dafür müssen sie auf ihnen veraltete Installationen von Wordpress oder Joomla laufen. Eset sieht eine Beziehung zwischen Yellsoft, das ein Tool für den Mail-Versand anbietet, und der Malware.

Das Sicherheitsunternehmen Eset hat die Malware Mumbleheard analysiert und nun die Ergebnisse präsentiert. Demnach bestehe eine Verbindung zwischen der Internetfirma “Yellsoft” und der Malware-Familie Mumblehard. Diese nutzt WordPress und Joomla als Einfallstor. Die Schadsoftware sucht speziell nach Servern, mit Linux- oder BSD-Systeme und infiziert sie. Anschließend versenden sie massenhaft Spam-Mails.

“Im Rahmen unserer Nachforschung fiel uns eine steigende Anzahl infizierter Systeme auf, deren Besitzer wir umgehend kontaktierten”, erklärt Eset-Forscher Marc-Etienne M. Léveillé. “Wir identifizierten in sieben Monaten mehr als 8500 IP-Adressen. Mit der Veröffentlichung unserer Analyse-Ergebnisse zeigen wir Betroffenen, womit sie es zu tun haben und wie befallene Server bereinigt werden können.”

Léveillé zufolge nutzt die Malware Lücken in veralteten Joomla- und WordPress-Installationen. Über diese schleust Mumblehard eine Backdoor ein. Diese wird von einem Command-and-Control-Server gesteuert. Angreifer übertragen über die Backdoor ein Spammer-Daemon auf die infizierten Server.

Kommunikation zwischen den Mumblehard-Modulen und den Command-and-Control-Servern (Grafik: Eset).
Kommunikation zwischen den Mumblehard-Modulen und den Command-and-Control-Servern (Grafik: Eset).

Darüber hinaus bestehe nach Ansicht von Eset eine Beziehung zwischen der Malware Mumblehard und der Firma Yellsoft. Diese vertreibt die Software “DirectMailer”. Mit dieser lassen sich Massen-Mails versenden. Die IP-Adressen, die für beide Mumblehard-Komponenten als Command-and-Control-Server genutzt werden, liegen im gleichen Adressbereich wie der Webserver von yellsoft.net. Außerdem hat Eset Raubkopien von DirectMailer entdeckt, die bei der Ausführung unbemerkt die Mumblehard-Backdoor installieren. Diese Raubkopien wurden vom selben Packer verschleiert, der auch bei den Mumblehard-Komponenten verwendet wird.

Betroffene sollten für alle Nutzer auf Servern auf unbekannte Cronjob-Einträge achten. Mumblehard nutzt diesen Mechanismus, um alle 15 Minuten die Backdoor zu aktivieren. Bislang ist nicht bekannt, ob der Spam-Versand das einzige Ziel der Mumblehard-Autoren ist. Es sei durchaus möglich, über die Backdoor andere ausführbare Dateien einzuschleusen – sogar auf tausenden von Servern gleichzeitig.

[mit Material von Peter Marwan, ITespresso.de]