Das Sicherheitsunternehmen Eset hat die Malware Mumbleheard analysiert und nun die Ergebnisse präsentiert. Demnach bestehe eine Verbindung zwischen der Internetfirma “Yellsoft” und der Malware-Familie Mumblehard. Diese nutzt WordPress und Joomla als Einfallstor. Die Schadsoftware sucht speziell nach Servern, mit Linux- oder BSD-Systeme und infiziert sie. Anschließend versenden sie massenhaft Spam-Mails.
“Im Rahmen unserer Nachforschung fiel uns eine steigende Anzahl infizierter Systeme auf, deren Besitzer wir umgehend kontaktierten”, erklärt Eset-Forscher Marc-Etienne M. Léveillé. “Wir identifizierten in sieben Monaten mehr als 8500 IP-Adressen. Mit der Veröffentlichung unserer Analyse-Ergebnisse zeigen wir Betroffenen, womit sie es zu tun haben und wie befallene Server bereinigt werden können.”
Léveillé zufolge nutzt die Malware Lücken in veralteten Joomla- und WordPress-Installationen. Über diese schleust Mumblehard eine Backdoor ein. Diese wird von einem Command-and-Control-Server gesteuert. Angreifer übertragen über die Backdoor ein Spammer-Daemon auf die infizierten Server.
Darüber hinaus bestehe nach Ansicht von Eset eine Beziehung zwischen der Malware Mumblehard und der Firma Yellsoft. Diese vertreibt die Software “DirectMailer”. Mit dieser lassen sich Massen-Mails versenden. Die IP-Adressen, die für beide Mumblehard-Komponenten als Command-and-Control-Server genutzt werden, liegen im gleichen Adressbereich wie der Webserver von yellsoft.net. Außerdem hat Eset Raubkopien von DirectMailer entdeckt, die bei der Ausführung unbemerkt die Mumblehard-Backdoor installieren. Diese Raubkopien wurden vom selben Packer verschleiert, der auch bei den Mumblehard-Komponenten verwendet wird.
Betroffene sollten für alle Nutzer auf Servern auf unbekannte Cronjob-Einträge achten. Mumblehard nutzt diesen Mechanismus, um alle 15 Minuten die Backdoor zu aktivieren. Bislang ist nicht bekannt, ob der Spam-Versand das einzige Ziel der Mumblehard-Autoren ist. Es sei durchaus möglich, über die Backdoor andere ausführbare Dateien einzuschleusen – sogar auf tausenden von Servern gleichzeitig.
[mit Material von Peter Marwan, ITespresso.de]
LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…
Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…
Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…
Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…
Huawei Connect Paris: Innovationen rund um Data Center, Storage und IT-Sicherheit.
Mit KI optimieren Hacker ihre Angriffsversuche. Ist CIAM eine Lösung, mit der sich Unternehmen vor…