Onderzoekers van het Slowaakse anti-virusbedrijf ESET hebben duizenden Linux- en BSD-servers ontdekt die met malware besmet zijn geraakt en worden gebruikt voor het versturen van grote aantallen spamberichten. Mumblehard, zoals de malware heet, zou al sinds 2009 actief zijn.
Het gaat voornamelijk om webservers die zeer waarschijnlijk via lekken in de populaire contentmanagementsystemen Joomla en WordPress werden gehackt. Vervolgens installeerden de aanvallers Mumblehard op de systemen. Daarnaast zou de malware zich ook hebben verspreid via illegale versies van een programma genaamd DirectMailer. De software kost normaal 240 dollar, maar op internet werden illegale versies met de Mumblehard-backdoor aangetroffen.
DirectMailer wordt ontwikkeld door het softwarebedrijf Yellsoft. Yellsoft verkoopt software die net als Mumblehard in de programmeertaal Perl is geschreven en wordt gebruikt voor het versturen van bulkmail. De onderzoekers van ESET vermoeden dat Yellsoft mogelijk bij de malware betrokken is. Zo blijkt dat het IP-adres van de C&C-server die de besmette Linux- en BSD-machines aanstuurt zich in dezelfde reeks bevindt als de webserver van yellsoft.net.
De tweede link waar de onderzoekers naar wijzen is het bestaan van de illegale versies van DirectMailer waar de Mumblehard-backdoor in zat verstopt. De eerste versie van Mumblehard dateert van 2009. Yellsoft bestaat sinds 2004. "Het is onduidelijk of ze tussen 2004 en 2009 bij kwaadaardige activiteiten waren betrokken", zo laten de onderzoekers in hun rapport (pdf) over de malware weten.
Mumblehard werd ontdekt nadat een systeembeheerder had geklaagd dat zijn server wegens spam op een blacklist terecht was gekomen. Tijdens het onderzoek dat ESET uitvoerde wisten onderzoekers de botnetserver te "sinkholen", waarbij het verkeer van besmette machines naar een server van het anti-virusbedrijf liep. Op deze manier zagen de onderzoekers gedurende een periode van zeven maanden bijna 8900 unieke IP-adressen voorbijkomen die besmet waren. Beheerders die willen weten of hun server is gecompromitteerd krijgen het advies om naar ongevraagde cronjobs voor alle gebruikers te zoeken.
Deze posting is gelocked. Reageren is niet meer mogelijk.