Siga o Suporte Ninja por email

sábado, 2 de maio de 2015

Mumblehard - malware atacando servidores Linux a mais de 5 anos



Mumblehard - malware infectando servidores Linux a mais de 5 anos

Pesquisadores descobriram que vários milhares de servidores com sistemas operacionais Linux e FreeBSD foram infectadas nos últimos sete meses com malwares sofisticados que se autorreplicam criando uma rede renegada bombardeando a Internet com spam. O malware infectou muitos servidores durante os cinco anos de atividade do botnet Mumblehard

A maioria das máquinas infectadas pelo chamado malwares Mumblehard de acordo com o relatório de 23 páginas emitido por investigadores do fornecedor antivírus ESET Smart Security. Durante os sete meses que eles monitoraram um dos seus canais, 8.867 endereços de IP únicos ligados a ele, sendo que 3.000 deles se juntaram a rede nas últimas três semanas. A descoberta é uma reminiscência de Windigo, um botnet de spam composta de 10.000 servidores Linux que a ESET Smart Security descobriu há 14 meses.

O malware Mumblehard foi desenvolvido por programadores experientes e altamente qualificados. Ele inclui um backdoor e um daemon spam, que é um processo por trás das cenas que envia grandes quantidades de lixo eletrônico.


Estes dois componentes principais são escritos em Perl com código ofuscado que está escrito em conjunto, com uma linguagem de programação de baixo nível Assembly correspondente ao código de máquina nativo do hardware do computador onde o malware se instala. O resultado é uma infecção muito furtivo que faz com que os servidores de produção comessem a bombardear a internet com spam e pode servir para outros propósitos nefastos.

“O caso de Malwares em servidores Linux e BSD como o Mumblehard está se tornando cada vez mais complexo”, escreveram os pesquisadores da ESET Smart Security.


“O fato de que os autores utilizaram um ofuscado personalizado para esconder o código fonte Perl é um pouco sofisticado. No entanto, ele definitivamente não é tão complexa quanto a Operação Windigo que documentamos em 2014. No entanto, é preocupante que os operadores do malware Mumblehard terem conseguido ficado ativo por tantos anos sem interrupções. ”

Os pesquisadores descobriram evidências de que Mumblehard pode ter links para Yellsoft, uma empresa que vende DirecMailer, que é um software baseado em Perl para o envio em massa de e-mail.


Mumblehard - malware infectando servidores Linux a mais de 5 anos

O bloco de endereços IP para ambos Yellsoft e alguns dos servidores C&C infectados com o Mumblehard compartilham a mesma faixa de ip. Além do mais, cópias piratas de DirecMailer instalam silenciosamente o backdoor Mumblehard. As cópias piratas também são ofuscados pelo mesmo embalador usado pelos componentes maliciosos de Mumblehard.

Pesquisadores da ESET Smart Security descobriram o Mumblehard depois de ser contactado por um administrador de sistema que procurou assistência para um servidor que foi adicionado ao blacklists de segurança pública pelo motivo de envio de spam. Os pesquisadores identificaram e analisaram um processo que estava rodando no servidor para se conectar a diferentes servidores SMTP e enviar spam. Foi quando os pesquisadores, se ligaram no comportamento de um arquivo executável localizado no diretório /tmp do servidor Linux.

A versão do componente de spam Mumblehard foi carregado para o serviço de verificação de malware on-line VirusTotal em 2009, uma indicação de que o programa spammer já existe há mais de cinco anos. Os pesquisadores foram capazes de controlar a botnet, registrando um dos nomes de domínio que as máquinas infectadas Mumblehard consultam a cada 15 minutos.

Os pesquisadores ESET Smart Security ainda não têm certeza de como Mumblehard está se instalando.


Com base na sua análise do servidor infectado, eles suspeitam que o malware pode apoderar-se através da exploração de vulnerabilidades nos sistemas de gerenciamento de conteúdo Joomla e WordPress. Sua outra teoria é que as infecções são o resultado da instalação de versões piratas do programa DirecMailer.

Os administradores que desejam verificar os seus servidores para ter saber se esta infectado pelo Mumblehard deve procurar daemons inexplicáveis.


Cronjobs adicionados pelo malware que adicionam o backdoor e consultar servidores C&C quatro vezes por hora em incrementos precisos, de 15 minutos. O backdoor geralmente está localizado no diretório /tmp ou /var/tmp. O backdoor pode ser desativado montando os diretórios com a opção noexec.



O Suporte Ninja fechou parceria com um dos melhores serviços de proteção digital do mundo a VyprVPN usamos criptografia militar! Proteção digital Ninja para sua empresa e sua família. (Em breve com suporte direto atravez do nosso site "Suporte NInja" em Português)


Todos os direitos a Suporte Ninja Visite nosso Blog: Suporte ninja