A ESET, empresa de detecção proativa de ameaças, descobriu um novo conjunto de famílias de malware, que são implementados como extensões maliciosas para o software de servidor web Internet Information Services (IIS). Visando servidores de e-mail do governo e sites que realizam transações de comércio eletrônico, bem como auxiliando na distribuição de malware, essa ameaça opera espionando e manipulando as comunicações do servidor.
CONTEÚDO RELACIONADO – Estudo aponta que 50 empresas de telecomunicação sofreram ataques digital no primeiro semestre
O Internet Information Service é o software para o servidor web do Microsoft Windows que possui uma arquitetura modular extensível. A ESET baseou sua pesquisa em módulos IIS nativos que são maliciosos, onde encontraram mais de 80 amostras exclusivas que foram ativamente usadas no contexto de uma campanha e as classificaram em 14 famílias de malware, 10 das quais não haviam sido documentadas anteriormente.
A ESET identificou os cinco mecanismos principais nos quais o malware IIS opera:
- Conexão direta com o backdoor;
- Servidor IIS é comprometido para interceptar o tráfego;
- Servidor ISS com conteúdo malicioso é considerado legítimo;
- IIS é usado para conectar o proxy ao servidor C&C;
- Servidor ISS é manipulado para HTTP replicar pesquisas de bots.
Como se proteger
A ESET compartilha várias recomendações que podem ajudar a mitigar ataques de malware IIS:
- Use contas dedicadas com senhas exclusivas e fortes para a administração do servidor IIS. Solicite autenticação multifator (MFA) para essas contas. Monitore o uso dessas contas.
- Instale periodicamente atualizações de segurança para o sistema operacional e analise cuidadosamente quais serviços são expostos à Internet para reduzir o risco de exploração do servidor.
- Considere o uso de um firewall de aplicativo da web e/ou solução de segurança de endpoint no servidor IIS.
- Módulos nativos para IIS têm acesso irrestrito a quaisquer recursos disponíveis para o processo de trabalho do servidor; apenas módulos IIS nativos de fontes confiáveis devem ser instalados para evitar o download de versões “trojanizadas”. Esteja especialmente atento aos módulos que prometem recursos muito bons para ser verdade, como aprimorar o SEO de forma mágica.
- Verifique regularmente a configuração do servidor IIS para verificar se todos os módulos nativos instalados são legítimos (assinados por um fornecedor confiável ou instalados propositalmente).
Participe das comunidades IPNews no Facebook, LinkedIn e Twitter.