Das Sicherheitsunternehmen Eset hat die Malware Mumbleheard analysiert und nun die Ergebnisse präsentiert. Demnach bestehe eine Verbindung zwischen der Internetfirma “Yellsoft” und der Malware-Familie Mumblehard. Diese nutzt WordPress und Joomla als Einfallstor. Die Schadsoftware sucht speziell nach Servern, mit Linux- oder BSD-Systeme und infiziert sie. Anschließend versenden sie massenhaft Spam-Mails.
“Im Rahmen unserer Nachforschung fiel uns eine steigende Anzahl infizierter Systeme auf, deren Besitzer wir umgehend kontaktierten”, erklärt Eset-Forscher Marc-Etienne M. Léveillé. “Wir identifizierten in sieben Monaten mehr als 8500 IP-Adressen. Mit der Veröffentlichung unserer Analyse-Ergebnisse zeigen wir Betroffenen, womit sie es zu tun haben und wie befallene Server bereinigt werden können.”
Léveillé zufolge nutzt die Malware Lücken in veralteten Joomla- und WordPress-Installationen. Über diese schleust Mumblehard eine Backdoor ein. Diese wird von einem Command-and-Control-Server gesteuert. Angreifer übertragen über die Backdoor ein Spammer-Daemon auf die infizierten Server.
Darüber hinaus bestehe nach Ansicht von Eset eine Beziehung zwischen der Malware Mumblehard und der Firma Yellsoft. Diese vertreibt die Software “DirectMailer”. Mit dieser lassen sich Massen-Mails versenden. Die IP-Adressen, die für beide Mumblehard-Komponenten als Command-and-Control-Server genutzt werden, liegen im gleichen Adressbereich wie der Webserver von yellsoft.net. Außerdem hat Eset Raubkopien von DirectMailer entdeckt, die bei der Ausführung unbemerkt die Mumblehard-Backdoor installieren. Diese Raubkopien wurden vom selben Packer verschleiert, der auch bei den Mumblehard-Komponenten verwendet wird.
Betroffene sollten für alle Nutzer auf Servern auf unbekannte Cronjob-Einträge achten. Mumblehard nutzt diesen Mechanismus, um alle 15 Minuten die Backdoor zu aktivieren. Bislang ist nicht bekannt, ob der Spam-Versand das einzige Ziel der Mumblehard-Autoren ist. Es sei durchaus möglich, über die Backdoor andere ausführbare Dateien einzuschleusen – sogar auf tausenden von Servern gleichzeitig.
[mit Material von Peter Marwan, ITespresso.de]
Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…
Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…
Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…
Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…
DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).
Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.