D'après un rapport publié par ESET, des milliers d'ordinateurs exécutant des systèmes d'exploitation à base Linux et FreeBSD ont été infectés au cours de ces cinq dernières années par un malware baptisé Mumblehard et affichant une prédilection pour les serveurs Web.

Mumblehard se compose d'une backdoor (porte dérobée) et d'un démon de spam. La backdoor assure une communication avec des serveurs de commande et contrôle, tandis que le démon œuvre pour envoyer de grosses quantités de spam.

L'infection par Mumblehard aurait probablement lieu via l'exploitation de vulnérabilités dans les CMS Joomla et Wordpress. Les chercheurs ont en outre établi des liens avec Yellsoft qui vend un logiciel DirectMailer pour envoyer des emails en masse.

ESET-Mumblehard-vue-ensemble
Les chercheurs d'ESET ont pu surveiller l'élément backdoor de Mumblehard en enregistrant un nom de domaine utilisé par l'un des serveurs de commande et contrôle. Pendant sept mois, plus de 8 500 adresses IP uniques ont été identifiées. Au cours de la première semaine du mois d'avril, plus de 3 000 machines étaient infectées mais il existe des pics d'infection.

Pour ESET, l'utilisation du langage assembleur pour produire des fichiers binaires exécutables ELF afin de masquer le code source en Perl des deux composants de Mumblehard montre un " niveau de sophistication plus élevé que la moyenne ". Mais en la matière, ESET avait été davantage impressionné par Windigo.

Ce qui est par contre inquiétant est que les cybercriminels derrière Mumblehard ont pu agir pendant plus de cinq ans sans interruption. La trouvaille de ESET a eu lieu suite à la demande d'aide d'un administrateur système en raison d'un serveur qui avait été blacklisté pour l'envoi de spam.

Aux victimes potentielles, ESET recommande de jeter un œil sur les entrées cronjob non sollicitées sur leurs serveurs. " C'est le mécanisme utilisé par la backdoor de Mumblerhard pour une activation toutes les 15 minutes. Elle est généralement installée dans /tmp ou /var/tmp. Monter le répertoire tmp avec l'option noexec empêche la backdoor de démarrer. "