Sicherheitsforscher haben eine neue Malware namens Mumblehard auf Linux-Servern gefunden. Diese Schadsoftware ermöglicht es Cyber-Kriminellen, eine Hintertür zu öffnen und das betroffene System zu kontrollieren. Dadurch können sie das infizierte System dazu nutzen, Massen-E-Mails zu versenden.
Mumblehard ist eine besonders gefährliche Malware, da sie speziell für Linux-Systeme entwickelt wurde. Linux gilt normalerweise als sichereres Betriebssystem im Vergleich zu Windows, da es weniger anfällig für Viren und andere Bedrohungen ist. Dennoch haben es die Angreifer geschafft, eine Schwachstelle in Linux-Servern auszunutzen und durch Mumblehard Zugriff zu erlangen.
Sobald Mumblehard auf einem System installiert ist kann es sich selbst aktualisieren und so dauerhaft auf dem infizierten Server bleiben. Dies macht es schwerer; die Malware zu erkennen und zu entfernen. Die Cyber-Kriminellen können dann das infizierte System dafür nutzen um große Mengen an Spam-Mails zu verschicken. Oftmals werden die E-Mails zur Verbreitung von weiteren Schadprogrammen oder zur Durchführung von Phishing-Angriffen verwendet.
Um Mumblehard zu verbreiten, nutzen die Angreifer verschiedene Taktiken, ebenso wie etwa das Versenden gefälschter Rechnungen oder E-Mails mit betrügerischem Inhalt. Wenn ein Benutzer auf einen infizierten Link oder Anhang klickt, wird die Schadsoftware auf seinem System installiert. Daher ist es wichtig, sowie als Benutzer als ebenfalls als Administrator wachsam zu sein und verdächtige E-Mails oder Anhänge nicht zu öffnen.
Um sich vor Mumblehard und anderen Malware-Infektionen zu schützen ist es ratsam, regelmäßig Updates für das Betriebssystem und alle installierten Programme durchzuführen. Zudem sollten starke Passwörter verwendet und eine Anti-Malware-Software installiert werden. Es ist auch empfehlenswert, E-Mails von unbekannten Absendern grundsätzlich zu löschen und verdächtige Inhalte nicht zu öffnen.
Mumblehard ist ein weiteres Beispiel dafür wie wichtig es ist die Sicherheit von Linux-Servern ernst zu nehmen. Obwohl Linux-Systeme generell sicherer sind, sollten Unternehmen & Organisationen weiterhin die nötigen Vorkehrungen treffen um ihre Server zu schützen.
Dabei setzt Mumblehard auf eine Backdoor und einen daemon der Spam-Nachrichten versendet.
Die Entdecker der Malware der Antiviren-Hersteller ESET, hat eigenen Angaben zufolge in einem Zeitraum von sieben Monaten Anfragen von über 8․500 IP-Adressen infizierter Linux-Computer protokollieren können. Allein in der ersten Aprilwoche dieses Jahres sprechen sie von weiterhin als 3․000 betroffenen Rechnern. Die Größe des Botnets soll sich innerhalb von sechs Monaten verdoppelt haben. Dabei greife Mumblehard vor allem Linux-Webserver an. Wie sich die Malware auf den Systemen einschleicht wird nicht geschildert.
Angreifer verschleiern Schadcode
Laut einem Bericht von ESET sind beide Angriffs-Komponenten in Perl geschrieben. Mittels eines identischen Packers der in Assembler geschrieben wurde, erzeugen die Angreifer ELF-Binaries um den Perl-Quellcode zu kaschieren. Als Vergleich wird an dieser Stelle eine ineinander gesteckte Matroschka-Puppe genannt. Ein Aufwand • der bei durchschnittlicher Malware nicht zu beobachten ist • meinen die Sicherheitsforscher.
Admins sollten ESET zufolge ihre Linux-Server nach unerwünschten Cronjob-Einträgen durchforsten, über die sich die Backdoor alle 15 Minuten aktiviert. In der Regel findet man die Backdoor in /tmp oder /var/tmp. Mit der Option noexec für das tmp-Verzeichnis lasse sich die Ausführung verhindern ? das könnte jedoch zu unerwünschten Nebenwirkungen führen.
Kommentare