ESET identifica novos malwares visando servidores de governo e transações de comércio eletrônico

1

A ESET, empresa de detecção proativa de ameaças, descobriu um novo conjunto de famílias de malware, que são implementados como extensões maliciosas para o software de servidor web Internet Information Services (IIS). Visando servidores de e-mail do governo e sites que realizam transações de comércio eletrônico, bem como auxiliando na distribuição de malware, essa ameaça opera espionando e manipulando as comunicações do servidor.

O Internet Information Service é o software para o servidor web do Microsoft Windows que possui uma arquitetura modular extensível. A ESET baseou sua pesquisa em módulos IIS nativos que são maliciosos, onde encontraram mais de 80 amostras exclusivas que foram ativamente usadas no contexto de uma campanha e as classificaram em 14 famílias de malware, 10 das quais não haviam sido documentadas anteriormente.

A ESET identificou os cinco mecanismos principais nos quais o malware IIS opera:

  • Conexão direta com o backdoor;
  • Servidor IIS é comprometido para interceptar o tráfego;
  • Servidor ISS com conteúdo malicioso é considerado legítimo;
  • IIS é usado para conectar o proxy ao servidor C&C;
  • Servidor ISS é manipulado para HTTP replicar pesquisas de bots.

Como se proteger

A ESET compartilha várias recomendações que podem ajudar a mitigar ataques de malware IIS:

Use contas dedicadas com senhas exclusivas e fortes para a administração do servidor IIS. Solicite autenticação multifator (MFA) para essas contas. Monitore o uso dessas contas.

Instale periodicamente atualizações de segurança para o sistema operacional e analise cuidadosamente quais serviços são expostos à Internet para reduzir o risco de exploração do servidor.

Considere o uso de um firewall de aplicativo da web e/ou solução de segurança de endpoint no servidor IIS.

Módulos nativos para IIS têm acesso irrestrito a quaisquer recursos disponíveis para o processo de trabalho do servidor; apenas módulos IIS nativos de fontes confiáveis devem ser instalados para evitar o download de versões "trojanizadas". Esteja especialmente atento aos módulos que prometem recursos muito bons para ser verdade, como aprimorar o SEO de forma mágica.

Verifique regularmente a configuração do servidor IIS para verificar se todos os módulos nativos instalados são legítimos (assinados por um fornecedor confiável ou instalados propositalmente).

1 COMENTÁRIO

Deixe um comentário para Vinicius Santos Cancelar resposta

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.