ESET с разкрития за спам малуер, насочен към Линукс системи

	ESET с разкрития за спам малуер, насочен към Линукс системи
	Макар и рядко срещащ се, малуерът към Линукс системи съществува и от време на време чуваме за съществуването му в спорадични атаки, насочени към сървърни системи, и по-рядко към потребителски машини с Линукс.Тази седмица специалисти от компанията за информационна и интернет защита ESET излязоха с разкритие за продължаваща малер кампания към такива системи. Няколко хиляди са системите изградени на основата на Linux и FreeBSD, които са били засегнати през последните седем месеца, обединявайки ги в армия, разпращаща спам. Машините, станали жертва на атаката, вероятно са много повече, вземайки предвид факта, че кампанията действа необезпокоявано през последните пет години, през които тя действа.Повечето от машините заразени с т.нар. Mumbleheard малуер поддържат сайтове в Мрежата. По време на седем месечния мониторинг на ESET над дейността на ръководителите на кампанията е бил наблюдаван един от контролните канали на кампанията и 8867 уникални IP адреса, свързани към него, като 3000 от тези адреси са били добавени в последни три седмици от периода, в който е била наблюдавана дейността на кампанията. Настоящата кампания е сходна с разкритата миналата година спам ботнет кампания Windigo, която разкриха отново ESET, немската CERT и шведския инстутут SNIC. Operation Windigo, за която ви разказахме преди малко повече от година е "пленила" 10 000 Линукс сървъра, които са пренасочвали потребители към зловредни страници и са разпространявали спам.Mumbleheard, от своя страна, е дело на изключително способни хакери, като малуерът притежава бекдор компонент и такъв, който отговаря за разпространението на спам. Тези два компонента са написани на Perl и са скрити в един общ пакет, написан на асемблер, програмен език от ниско ниво, който е близък до естествения машинен код на компютърния хардуер на машината. "Малуерът, насочен към сървъри на основата на Линукс и BSD става все по-сложен. Фактът, че авторите използват често срещан механизъм за пакетиране на изходния код написан на Perl, прави малуера сложен до голяма степен. Той обаче не е толкова сложен, колкото този използван в Windigo Operation, разкрита от нас миналата година", отбелязват специалистите в доклада си, отбелязвайки обаче, че факта, че кампанията не е била регистрирана толкова години е притеснително. ESET разкриват също така че кампанията е свързана по някакъв начин с Yellsoft, създатели на DirecMailer, софтуер, който спомага за разпращането на голям брой автомаатично.Блокът от IP адреси, използвани Yellsoft и някои от командните сървъри на Mumblehard споделят общ диапазон. ESET открили атаката, след като администратор се свързвал с компанията относно сървър, който бил попаднал на обществен черен списък, като машина разпращаща спам. Специалистите открили процес, който се свързвал със SMPT сървъри и разпращал спам. Те качили файлът, отговарящ за подозрителния процес в услугата за проверка на сигурността на файлове VirusTotal, където освен за зловредността на пробата, научили и че тя е качвана преди пет години за пръв път в онлайн платформата. Специалистите на ESET обаче не са сигурни как Mumbleheard бива инсталиран. Според тях малуерът е възможно да се е възползвал от уязвимост в платформите на Joomla или WordPress. Друга тяхна теория, възможно е инфекциите да са стартирали вследствие на инсталации на изпиратствани версии на DirecMailer. Администраторите, които се страхуват, че машините, за които се грижат може да са станали жертва на малуера е нужно да се огледат за неизвестни daemon-и. Малуерът обикновено се намира в паките /tmp или /var/tmp. Самият бекдор може да бъде деактивиран чрез маунтването на папките с noexec опцията.Повече за разкритията на ESET може да прочетете в доклада на компанията тук (pdf)

	Коментари
	Все още няма коментари