Аналитикам ESET удалось раскрыть крупную вредонесущую кампанию, направленную на компрометацию веб-серверов, управляемых Linux и BSD.

Киберзлоумышленники использовали программу-вредонос семейства Linux/Mumblehard, чьи компоненты являют собой скрипты, написанные на языке Perl, подвергнутые шифрованию и упакованные в исполняемый ELF-файл. Данная программа создана для предоставления авторам атаки полного доступа к зараженной системе (бэкдор) и последующей рассылки спама.

Mumblehard специалисты ESET выявили, когда отвечали на запрос сисадмина, неожиданно обнаружившего свой сервер в т. н. «черном списке» интернет-провайдера за ведение рассылки спама. Им удалось зафиксировать подозрительный процесс, идущий на сервере и убедиться в том, что его исполнителем является вредоносный скрипт.

Согласно данным статистики, полученной экспертами лабораторией ESET, эта вредоносная программа активничала по крайней мере с 2009 года. В течение семи месяцев экспертами было выявлено 8867 IP-адресов зараженных систем, причем, наибольшее количество адресов за день составляло почти 3300. Среди общего числа зараженных устройств явно преобладали веб-серверы. Помимо того, аналитиками ESET была установлена связь меж Mumblehard и организацией Yellsoft, которая занимается распространением ПО, предназначенного для массовых электронных рассылок почты.

Специалистами ESET выявлено два основополагающих вектора, по которым распространялся Mumblehard. Злоумышленниками использовался набор эксплойтов для популярнейших управленческих систем сайтами Wordpress и Joomla, либо пиратские версии ПО DirectMailer для ОС Linux и BSD, ставившие бэкдор Mumblehard. Официальная программа продается Yellsoft за двести сорок долларов.

Спамные письма, рассылаемые зараженными системами, применялись для продвижения разного рода фармацевтических продуктов – в них содержались ссылки на онлайновые магазины соответственной тематики. Заголовки данных сообщений строятся из двух-трех наугад выбранных слов, что дает возможность обходить стандартные антиспам-системы.

Антивирусными продуктами ESET NOD32 данное вредоносное ПО определяется в качестве Linux/Mumblehard.

Источник: www.esetnod32.ru