Miles de computadoras y servidores web que ejecutaban los sistemas operativos Linux y FreeBSD han sido infectados durante los últimos cinco años con malware sofisticados que convertían las máquinas en spambots.
El nuevo malware Linux, descubierta por los investigadores de seguridad del proveedor de antivirus Eset, ha sido apodado como «Mumblehard» porque propaga, spam desde sus servidores, dice Eset en un informe de 23 páginas (PDF) titulado «Unboxing Linux/Mumblehard».
Los investigadores han registrado más de 8.500 direcciones IP únicas durante un período de siete meses de investigación que fueron golpeados por el malware de Linux Mumblehard y descubrieron que más de 3000 máquinas se sumaron en las últimas tres semanas.
Mumblehard cuenta con dos componentes básicos:
- Puerta Trasera
- Daemon spamming
Ambos componentes están escritos en el lenguaje de programación Perl y «cuentan con el mismo empacador personalizado escrito en lenguaje ensamblador».
La puerta trasera permite a los hackers infiltrarse en el sistema y controlar los servidores de comando y control, mientras el daemon de spam es un proceso que se ejecuta en segundo plano y que se centra en el envío de grandes cantidades de correos electrónicos spam desde los servidores infectados.
La parte más preocupante de esta campaña:
Los operadores Mumblehard han estado activos durante más de cinco años, tal vez incluso más, sin ninguna interrupción.
«Los programas maliciosos dirigidos a los servidores con Linux y [OpenBSD] se están volviendo cada vez más complejos. Y el hecho de que el creador del malware utilizara un empacador personalizado… es algo sofisticado.»
¿Quién está detrás de está red de spambots?
El malware Mumblehard realmente explota vulnerabilidades en los sistemas de gestión de contenidos WordPress y Joomla, con el fin de entrar en los servidores.
Además, Mumblehard también se propaga mediante la instalación de versiones «piratas» de un programa para Linux y BSD llamado DirectMailer, desarrollados por Yellsoft y que se utiliza para enviar mensajes de correo electrónico masivos y se vende 240 dólares a través de la página web de la empresa rusa.
De este modo, cuando un usuario instala la versión pirata del software DirectMailer, los operadores de Mumblehard crean una puerta trasera al servidor del usuario, lo que permite a los hackers enviar mensajes de spam.
¿Cómo prevenir la amenaza?
Los administradores de servidores Web deben revisar sus servidores para asegurarse de que están libres de infecciones de Mumblehard, y para ello pueden buscar las llamadas entradas cronjob no deseadas, agregadas por el malware en un intento de activar el backdoor con incrementos de 15 minutos.
La puerta trasera generalmente se encuentra en los directorios /var/tmp o /tmp. Y puedes desactivar esta puerta trasera montando el directorio tmp con la opción noexec.
Posts Relacionados
Raspberry Pi lanza Pixel OS para Windows y Mac
Microsoft lanzará SQL Server para ¿Linux?
Hackers se apoderan de la web oficial de Linux Mint y cambián las versiones originales del sistema operativo por versiones adulteradas
Maru OS: una ROM de Android que se convierte en Debian Linux cuando se conecta a un PC