![\"torjan\"](\"http:\/\/www.ethicalhacker.com.br\/site\/wp-content\/uploads\/torjan.jpg\")
<\/a><\/p>\nFig1<\/p>\n
Al\u00e9m do mais, parece que os spammers est\u00e3o conectados com uma empresa de software chamado Yellsoft, que vende DirectMailer, um “sistema de distribui\u00e7\u00e3o de e-mail autom\u00e1tico” que permite aos usu\u00e1rios enviar e-mails como an\u00f4nimos.<\/p>\n
Esta opera\u00e7\u00e3o teve \u00eaxito em permanecer escondida, por tanto tempo gra\u00e7as a v\u00e1rios fatores: a sofistica\u00e7\u00e3o do malware utilizado, a sua discri\u00e7\u00e3o e persist\u00eancia, o fato de os spammers n\u00e3o estarem constantemente infectando novas m\u00e1quinas, e que cada uma das m\u00e1quinas infectadas n\u00e3o foi feita para dissipar o spam o tempo todo.<\/p>\n
Os pesquisadores come\u00e7aram a \u00a0sua investiga\u00e7\u00e3o com um peda\u00e7o de malware encontraram em um servidor que foi colocado na lista negra para o envio de spam. Eles apelidaram o mesmo de Mumblehard. Ap\u00f3s a an\u00e1lise, eles descobriram que ele tem v\u00e1rios componentes distintos: um backdoor gen\u00e9rico que faz contato com o seu servidor C & C e faz o download do componente spammer com um prop\u00f3sito de proxy geral.<\/p>\n
“Componentes Mumblehard s\u00e3o scripts principalmente feito em Perl encriptado e embalado dentro de bin\u00e1rios ELF. Em alguns casos, o script Perl cont\u00e9m outro execut\u00e1vel ELF com o mesmo packer, na forma de uma boneca de assentamento russo”, o pesquisador Marc-Etienne Leveille compartilhou em um documento os detalhamentos de seus achados. “Temos interesse nesta amea\u00e7a porque a forma como os scripts Perl utilizados pelos cibercriminosos s\u00e3o embalados dentro dos execut\u00e1veis \u200b\u200bELF \u00e9 incomum e mais complexa do que a amea\u00e7a m\u00e9dia do servidor.”<\/p>\n
Gra\u00e7as ao fato de que o backdoor sempre e repetidamente tenta contatar todos os 10 dom\u00ednios C & C listados em seu arquivo de configura\u00e7\u00e3o, os pesquisadores conseguiram assumir o controle de um deles (o seu registro tinha expirado), o que lhes permitiu monitorar a atividade dos hospedeiros infectados entre 19 de setembro de 2014 e 22 de abril de 2015.<\/p>\n
“Durante o per\u00edodo em que foram coletados os dados, vimos consultas Mumblehard de 8.867 endere\u00e7os IP \u00fanicos. A maioria deles s\u00e3o servidores que s\u00e3o usados \u200b\u200bpara hospedagem de sites”, diz Leveille. “Podemos ver que o n\u00famero de hospedeiros infectados est\u00e3o diminuindo lentamente, mas tem aumentos oportunos de tempos em tempos. Os operadores est\u00e3o iniciando ondas discretas de infec\u00e7\u00e3o em servidor em vez de espalhar de forma cont\u00ednua.”<\/p>\n
O servidor C & C nem sempre envia comandos para os rob\u00f4s para come\u00e7ar o spamming. \u00c0s vezes ele fez, por horas. Outros dias eles ficaram com a fonte, e os bots, desta forma permaneceram adormecidos.<\/p>\n
Mas foram os endere\u00e7os dos servidores C & C hardcoded nas amostras Mumblehard o que levou os pesquisadores a Yellsoft, como n\u00e3o h\u00e1 indica\u00e7\u00e3o de que eles est\u00e3o hospedados em servidor web da empresa.<\/p>\n
Uma olhada na p\u00e1gina da empresa revela que DirectMailer \u00e9 escrito em Perl e \u00e9 executado em sistemas do tipo UNIX. “Muito bem como Mumblehard,” Leveille ressalta.<\/p>\n
O pre\u00e7o do software \u00e9 de US $ 240, mas, curiosamente, h\u00e1 um link para um site que oferece uma vers\u00e3o “cracking” de DirectMailer. Os desenvolvedores dizem explicitamente que eles n\u00e3o fornece suporte t\u00e9cnico para usu\u00e1rios de vers\u00f5es piratas de DirectMailer baixado a partir desse site ou qualquer outro, mas o fato de que eles fornecem um link direto \u00e9 estranho.<\/p>\n
“Por que voc\u00ea quer mostrar onde pode roubar o seu software?” pede Leveille, e comenta que \u00e9 isso, e os fatos que a p\u00e1gina de Yellsoft parece estar hospedada no mesmo servidor como backdoor e spammer C & C servidor de Mumblehard e que o DirectMailer pirata \u00e9 compartilhar o c\u00f3digo spammer do Mumblehard, o que os torna suspeito de que eles s\u00e3o do mesmo grupo .<\/p>\n
As c\u00f3pias piratas DirectMailer cont\u00e9m o backdoor Mumblehard, e quando os usu\u00e1rios instal\u00e1-los, eles d\u00e3o aos operadores uma backdoor para seus servidores, e permiti-lhes enviar spam de tr\u00e1fego de proxy atrav\u00e9s deles.<\/p>\n
Eu me perguntava se o software DirectMailer original continha o backdoor, tamb\u00e9m, mas Leveille n\u00e3o poderia responder a essa pergunta para mim.<\/p>\n
“N\u00f3s n\u00e3o sabemos se a vers\u00e3o paga do DirectMailer tamb\u00e9m incluem o backdoor ou n\u00e3o. N\u00f3s n\u00e3o o pesquisou, e n\u00e3o queria comprar o software de Yellsoft”, observou ele. “Se algu\u00e9m tem uma c\u00f3pia paga e est\u00e3o dispostos a enviar-nos, n\u00f3s estar\u00edamos contentes de analis\u00e1-lo e confirmar se o backdoor est\u00e1 presente.”<\/p>\n
O que \u00e9 preocupante, diz ele, \u00e9 que os operadores Mumblehard foram ativos durante muitos anos sem interrup\u00e7\u00e3o.<\/p>\n
“N\u00e3o est\u00e1 claro se o spam \u00e9 o \u00fanico objetivo deste grupo. Em teoria, \u00e9 poss\u00edvel que os cibercriminosos utilizavam para implantar outros arquivos execut\u00e1veis \u200b\u200bem milhares de servidores ao mesmo tempo. Ser\u00e1 que eles enviaram outros tipos de spam com seu botnet? \u00c9 uma linha farmac\u00eautica de \u00a0armazenamento lucrativo o suficiente para justificar o esfor\u00e7o? ” Estas quest\u00f5es permanecem sem resposta.<\/p>\n
Os pesquisadores acreditam que Mumblehard tamb\u00e9m \u00e9 instalado em servidores comprometidos via Joomla e WordPress, atrav\u00e9s de exploits, e pediram que os administradores verifiquem se os seus servidores foram atingidos:. “As v\u00edtimas devem procurar entradas de cron n\u00e3o solicitadas para todos os usu\u00e1rios em seus servidores. Este \u00e9 o mecanismo usado pelo backdoor Mumblehard para ativar o backdoor a cada 15 minutos. O backdoor \u00e9 normalmente instalado em \/ tmp ou \/ var \/ tmp. Montar o diret\u00f3rio tmp com a op\u00e7\u00e3o noexec evita que o backdoor seja iniciado no primeiro lugar.”<\/p>\n
Para mais detalhes sobre o malware e para os indicadores de comprometimento, verifique este documento.<\/p>\n
Link:\u00a0http:\/\/www.welivesecurity.com\/wp-content\/uploads\/2015\/04\/mumblehard.pdf<\/a><\/p>\n Fonte Oficial:\u00a0http:\/\/www.net-security.org\/malware_news.php?id=3030<\/a><\/p>\n <\/p>\n <\/p>\n Um grande abra\u00e7o a todos !!!<\/p>\n\r\n\t\t\r\n\t\t\t