Das Sicherheitsunternehmen Eset hat die Malware Mumbleheard analysiert und nun die Ergebnisse präsentiert. Demnach bestehe eine Verbindung zwischen der Internetfirma “Yellsoft” und der Malware-Familie Mumblehard. Diese nutzt WordPress und Joomla als Einfallstor. Die Schadsoftware sucht speziell nach Servern, mit Linux- oder BSD-Systeme und infiziert sie. Anschließend versenden sie massenhaft Spam-Mails.
“Im Rahmen unserer Nachforschung fiel uns eine steigende Anzahl infizierter Systeme auf, deren Besitzer wir umgehend kontaktierten”, erklärt Eset-Forscher Marc-Etienne M. Léveillé. “Wir identifizierten in sieben Monaten mehr als 8500 IP-Adressen. Mit der Veröffentlichung unserer Analyse-Ergebnisse zeigen wir Betroffenen, womit sie es zu tun haben und wie befallene Server bereinigt werden können.”
Léveillé zufolge nutzt die Malware Lücken in veralteten Joomla- und WordPress-Installationen. Über diese schleust Mumblehard eine Backdoor ein. Diese wird von einem Command-and-Control-Server gesteuert. Angreifer übertragen über die Backdoor ein Spammer-Daemon auf die infizierten Server.
Darüber hinaus bestehe nach Ansicht von Eset eine Beziehung zwischen der Malware Mumblehard und der Firma Yellsoft. Diese vertreibt die Software “DirectMailer”. Mit dieser lassen sich Massen-Mails versenden. Die IP-Adressen, die für beide Mumblehard-Komponenten als Command-and-Control-Server genutzt werden, liegen im gleichen Adressbereich wie der Webserver von yellsoft.net. Außerdem hat Eset Raubkopien von DirectMailer entdeckt, die bei der Ausführung unbemerkt die Mumblehard-Backdoor installieren. Diese Raubkopien wurden vom selben Packer verschleiert, der auch bei den Mumblehard-Komponenten verwendet wird.
Betroffene sollten für alle Nutzer auf Servern auf unbekannte Cronjob-Einträge achten. Mumblehard nutzt diesen Mechanismus, um alle 15 Minuten die Backdoor zu aktivieren. Bislang ist nicht bekannt, ob der Spam-Versand das einzige Ziel der Mumblehard-Autoren ist. Es sei durchaus möglich, über die Backdoor andere ausführbare Dateien einzuschleusen – sogar auf tausenden von Servern gleichzeitig.
[mit Material von Peter Marwan, ITespresso.de]
"Das Grundprinzip der Zero Trust Architektur hat sich bis heute nicht geändert, ist aber relevanter…
Die Drogeriekette Rossmann wird ihr neues Zentrallager in Ungarn mit Software von PSI steuern.
Automobilhersteller planen, Quantentechnologie zunehmend auch bei fortschrittlichen Fahrerassistenzsystemen (ADAS) einzusetzen.
Blue Yonder soll mehr Nachhaltigkeit entlang der Lieferkette der internationale Brauerei ermöglichen.
Davon gehen laut der aktuellen Studie „Performance-Treiber 2024“ acht von zehn Industrieunternehmen aus.
„Aurora“ läuft beim Argonne National Laboratory des US-Energieministeriums und hat auf 87 Prozent des Systems…