Servidores Linux y BSD, actuando como centros de emisión de SPAM durante años

0

Durante al menos 5 años, quizá más, millones de servidores de todo el mundo con los sistemas operativos Linux y BSD han estado en el punto de mira de un grupo de hackers. Consiguieron infectarlos mediante un troyano a modo de “puerta trasera”, para después utilizarlos como emisores de Spam a nivel mundial.

Campaña de  Spam a nivel mundial permanece oculta durante más de 5 años

Campaña de Spam a nivel mundial permanece oculta durante más de 5 años

Peor aún, por lo visto los spammers están conectados mediante un software denominado Yellsoft, que actúa con DirectMailer, un sistema para emisión automática de emails. Lo que tiene de especial es que anonimiza por completo la identidad de los spammers.

Ocultos durante años

Estas actividades no han saltado a la luz durante años, hasta hace escasos días, debido a diferentes factores: la sofisticación del malware, su persistencia mediante la ocultación, el hecho de que los spammers infectan constantemente nuevas máquinas y, por último, que las máquinas secuestradas no estaba el 100% del tiempo “escupiendo” spam.

El investigador responsable comenzó su estudio con una pieza de malware que encontró en un servidor “blacklisted”, es decir, ya había sido catalogado como emisor de Spam, al que dió el nombre de Mumblehard. Tras su análisis, encontraron que tenía diferentes componentes:

  • Una puerta trasera o Backdoor genérico que contacta con el servidor de Control y descarga el componente de Spam.
  • Un proxy genérico.

Arrojando algo de luz sobre el Spam

Gracias al hecho de que la backdoor intenta siempre conectarse con los 10 servidores de control listados en su archivo de configuración, los investigadores han sido capaces de tomar el control de uno de estos dominios (su registro había caducado), lo que les permitió monitorizar el tráfico producido entre Septiembre de 2014 y el día 22 de Abril de 2015.

Durante este período monitorizado, se registraron solicitudes de 8867 direcciones IP diferentes hacia Mumblehard. La mayoría de ellos, servidores usados para alojar sitios web.

Se puede ver que el número de servidores infectados disminuye paulatinamente, con ciertos repuntes de vez en cuando. Los spammers llevan a cabo discretas oleadas de infección, en lugar de hacerlo continuamente.

Mumblehard opera en UNIX

Pero fueron las direcciones de los servidores C&C inscrustadas en Mumblehard las que llevaron a los expertos hasta Yellsoft, ya que existen indicaciones de que están alojados en el servidor web de la empresa.

Un vistazo a la página de la compañía nos demuestra que DirectMailer está escrito en Perl y se ejecuta en sistemas UNIX, como ocurre con Mumblehard.

Spam Mumblehard

El precio de este malware es de unos 200 €, aunque sorprendentemente se encuentra alguna versión crackeada de DirectMailer. Los desarrolladores no ofrece soporte para usuarios con versiones piratas de dicho sitio o cualquier otro, pero resulta curioso que proporcionen un enlace directo.

¿Por qué querría uno mostrar donde se puede robar su software?, se pregunta el experto Leveille. Tenemos una serie de hechos que apuntan a que todos los elementos pertenecen al mismo grupo criminal, porque además la web de Yellsoft está ubicada en el mismo servidor, mientras que DirectMailer y Mumblehard comparten el mismo código.

Lo más preocupante de este caso es la enorme cantidad de tiempo que ha pasado desapercibido.

La versión pirateada de DirectMailer contiene la puerta trasera Mumblehard. Cuando el usuario instala el software, los operadores del mismo obtienen una backdoor directa hacia sus servidores, desde donde pueden programar envíos de spam.

Recomendaciones

También se tienen indicios de que Mumblehard estaría instalado en ciertos servidores comprometidos mediante Joomla y WordPress, por lo que urgimos a comprobar si vuestros servidores podrían estar en riesgo.

Buscad entradas cronjob no solicitadas en cualquier tipo de usuario. Este es el mecanismo utilizado por Mumblehard para activar su backdoor cada 15 minutos.

El backdoor suele estar instalado en /tmp o /var/tmp. Si montamos el directorio tmp con la opción noexec, impediremos a la backdoor iniciarse.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR