Das Sicherheitsunternehmen Eset hat die Malware Mumbleheard analysiert und nun die Ergebnisse präsentiert. Demnach bestehe eine Verbindung zwischen der Internetfirma “Yellsoft” und der Malware-Familie Mumblehard. Diese nutzt WordPress und Joomla als Einfallstor. Die Schadsoftware sucht speziell nach Servern, mit Linux- oder BSD-Systeme und infiziert sie. Anschließend versenden sie massenhaft Spam-Mails.
“Im Rahmen unserer Nachforschung fiel uns eine steigende Anzahl infizierter Systeme auf, deren Besitzer wir umgehend kontaktierten”, erklärt Eset-Forscher Marc-Etienne M. Léveillé. “Wir identifizierten in sieben Monaten mehr als 8500 IP-Adressen. Mit der Veröffentlichung unserer Analyse-Ergebnisse zeigen wir Betroffenen, womit sie es zu tun haben und wie befallene Server bereinigt werden können.”
Léveillé zufolge nutzt die Malware Lücken in veralteten Joomla- und WordPress-Installationen. Über diese schleust Mumblehard eine Backdoor ein. Diese wird von einem Command-and-Control-Server gesteuert. Angreifer übertragen über die Backdoor ein Spammer-Daemon auf die infizierten Server.
Darüber hinaus bestehe nach Ansicht von Eset eine Beziehung zwischen der Malware Mumblehard und der Firma Yellsoft. Diese vertreibt die Software “DirectMailer”. Mit dieser lassen sich Massen-Mails versenden. Die IP-Adressen, die für beide Mumblehard-Komponenten als Command-and-Control-Server genutzt werden, liegen im gleichen Adressbereich wie der Webserver von yellsoft.net. Außerdem hat Eset Raubkopien von DirectMailer entdeckt, die bei der Ausführung unbemerkt die Mumblehard-Backdoor installieren. Diese Raubkopien wurden vom selben Packer verschleiert, der auch bei den Mumblehard-Komponenten verwendet wird.
Betroffene sollten für alle Nutzer auf Servern auf unbekannte Cronjob-Einträge achten. Mumblehard nutzt diesen Mechanismus, um alle 15 Minuten die Backdoor zu aktivieren. Bislang ist nicht bekannt, ob der Spam-Versand das einzige Ziel der Mumblehard-Autoren ist. Es sei durchaus möglich, über die Backdoor andere ausführbare Dateien einzuschleusen – sogar auf tausenden von Servern gleichzeitig.
[mit Material von Peter Marwan, ITespresso.de]
Bad Bots richten nicht nur wirtschaftlichen Schaden an. Laut dem Bad Bot Report von Imperva…
Studie von OVHcloud verdeutlicht Stellenwert von Datenresidenz und Datensouveränität bei KI-Anwendungen.
Mit KI können Unternehmen der Paketbranche Prozesse optimieren, Kosten einsparen und sich zukunftssicher aufstellen.
Land Niedersachsen schließt datenschutzrechtliche Vereinbarung mit Microsoft zur Nutzung von Teams ab.
Ein Großteil der Inventurdifferenzen im deutschen Einzelhandel wird durch Ladendiebstähle verursacht.
DDoS-Angriffe haben seit dem Beginn des Krieges zwischen Russland und der Ukraine an Häufigkeit und…