Miles de computadoras y servidores web que usan Linux y FreeBSD, han sido infectados durante últimos cinco años con un malware sofisticado, lo cual ha permitido a sus creadores tener máquinas para usar los conocidos spambots.
El nuevo malware para servidores Linux, ha sido descubierto por los investigadores de seguridad del proveedor de antivirus Eset, el cual ha sido llamado «Mumblehard», ya que está murmurando el spam en los servidores, según publicó Eset en 23 páginas de un informe (PDF) titulado «Unboxing Linux / Mumblehard.»
Los investigadores han registrado más de 8.500 direcciones IP únicas durante el período de siete meses de investigación, en los servidores que fueron afectados por el malware para Linux, Mumblehard; y encontraron más de 3000 máquinas que se unieron a ellos en las últimas tres semanas.
Mumblehard cuenta con dos componentes básicos:
Ambos escritos en el lenguaje de programación Perl y «cuentan con el mismo empacador personalizado escrito en lenguaje ensamblador.»
La puerta trasera permite a los hackers infiltrarse en el sistema y tomar el control de los servidores de forma remota, y el demonio de spam, es un proceso en background que se centra en el envío de grandes cantidades de correos electrónicos de spam desde los servidores infectados.
La parte más preocupante de esta campaña:
Los operadores de Mumblehard han estado activos durante más de cinco años, y tal vez incluso más, sin ninguna interrupción.
«El malware dirigido para Linux es cada vez más complejo», escribieron los investigadores Eset. «El hecho de que los creadores del malware usaron un empacador personalizado … es algo sofisticado.»
Sin embargo, no es «tan complejo como la Operación Windigo, la cual actuó en 2014. Sin embargo, es preocupante que los operadores Mumblehard han estado activos desde hace muchos años sin interrupción.»
¿Quién es responsable de la red robot de spam?
El malware para Linux, Mumblehard; realmente explota vulnerabilidades en los sistemas de gestión de contenido como WordPress y Joomla con el fin de entrar en los servidores.
Además, Mumblehard también se distribuye por la instalación de versiones «piratas» de un programa de Linux y BSD llamado DirectMailer, software desarrollados por Yellsoft que se utiliza para enviar mensajes de correo electrónico a granel y se vendió por 240 dólares a través de la página web de la empresa rusa.
Así, cuando un usuario instala la versión pirata de DirectMailer, los operadores de Mumblehard crean una puerta trasera al servidor del usuario que permite a los hackers enviar mensajes de spam.
¿Cómo prevenir la amenaza?
Los administradores de servidores Web deben revisar sin los servidores fueron infectados por Mumblehard mediante la búsqueda de las entradas de cronjob, las cuales son agregadas por el malware en un intento de activar el backdoor en un intervalo de 15 minutos.
La puerta trasera generalmente se encuentra en las carpetas /var/tmp o /tmp. Puede desactivar esta puerta trasera montando el directorio tmp con la opción noexec.