Un conjunto de diez familias de malware, previamente indocumentadas, ha sido descubierto por los investigadores de ESET, tal y como ha dado a conocer la propia compañía de ciberseguridad en un comunicado.
Según informa, estas 10 familias han sido implementadas como extensiones maliciosas para el software de servidor web Internet Information Services (IIS) y se dirigen tanto a los buzones de correo gubernamentales como a las transacciones de tarjetas de crédito del comercio electrónico. "Además de ayudar a la distribución de malware, esta variada clase de amenazas opera espiando y manipulando las comunicaciones del servidor", indica la firma.
Los investigadores han constatado, gracias a la telemetría de ESET y a escaneos adicionales realizados por ellos mismos, que al menos cinco puertas traseras del ISS se han propagado a través de la explotación de servidores de correo electrónico de Microsoft Exchange en 2021.
Por el momento, sus víctimas incluyen a gobiernos del sudeste asiático y a decenas de empresas pertenecientes a diversas industrias situadas principalmente en Canadá, Vietnam e India. Pero sus objetivos no se quedan ahí ya que también ha afectado a compañías de Estados Unidos, Nueva Zelanda, Corea del Sur y otros países.
Qué es el malware IIS y cuál es su objetivo
Como explica ESET, el malware ISS es una clase diversa de amenazas utilizadas para el cibercrimen, el ciberespionaje y el fraude SEO y que, en todos los casos, tiene como principal objetivo interceptar las peticiones HTTP que llegan al servidor IIS comprometido y afectar a la forma en que el servidor responde a (algunas de) estas peticiones.
"Los servidores web de Internet Information Services han sido objetivo de varios actores maliciosos, tanto para la ciberdelincuencia como para el ciberespionaje. La arquitectura modular del software, diseñada para proporcionar extensibilidad a los desarrolladores web, puede ser una herramienta útil para los atacantes", afirma la investigadora de ESET y autora del artículo, Zuzana Hromcová.
Los cinco modos en los que opera el malware IIS
Los investigadores de la firma de ciberseguridad también han identificado que el malware IIS opera principalmente mediante cinco formas:
- Las puertas traseras IIS permiten a sus operadores controlar remotamente el ordenador comprometido con IIS instalado.
- Los robos de información de IIS posibilitan a sus operadores interceptar el tráfico habitual regular entre el servidor comprometido y sus visitantes legítimos, y robar información como credenciales de acceso e información de pago.
- Los inyectores de IIS modifican las respuestas HTTP enviadas a los visitantes legítimos para servir contenido malicioso.
- Los proxies IIS convierten al servidor comprometido en una parte involuntaria de la infraestructura de mando y control de otra familia de malware.
- El malware IIS relativo al SEO modifica el contenido servido a los motores de búsqueda para manipular los algoritmos de las SERP e impulsar la clasificación de otros sitios web de interés para los atacantes.
"Todavía es bastante raro que el software de seguridad se instale y ejecute en servidores IIS, lo que facilita que los atacantes operen de forma desapercibida durante largos periodos de tiempo. Esto debería ser preocupante para todos los portales web serios que quieran proteger los datos de sus visitantes, incluida la información de autenticación y pago. Las organizaciones que utilizan Outlook desde la web también deberían prestar atención, ya que depende de IIS y podría ser un objetivo interesante para el espionaje", ha explicado Hromcová.
Consejos para mitigar los ataques de malware ISS
En su comunicado, ESET Research también ofrece estas recomendaciones que pueden ayudar a mitigar los ataques de malware IIS. Entre ellas se encuentran el
- Utilizar contraseñas únicas y seguras y aplicar la autenticación multifactorial para la administración de los servidores IIS.
- Mantener el sistema operativo actualizado.
- Usar un cortafuegos de aplicaciones web y una solución endpointde seguridad de punto final para en el servidor.
- Comprobar regularmente la configuración del servidor IIS para verificar que todas las extensiones instaladas son legítimas.
Además, ESET Research va a publicar este viernes el white paper Anatomía del malware nativo de IIS y, a partir de hoy y hasta el 11 de agosto, ha anunciado que va a lanzar una serie de publicaciones en su blog sobre las amenazas más notables de las recientemente descubiertas: IIStealer, IISpy e IISerpent.
- Anatomía del malware nativo de IIS (6 de agosto, 17:00 CEST): Un extenso white paper publicado junto con una entrada en el blog a modo de resumen.
- IIStealer – una amenaza para las transacciones en el comercio electrónico (6 de agosto, 17:00 CEST): Un artículo que analiza una extensión maliciosa de IIS (troyano) que intercepta las transacciones del servidor para robar la información de las tarjetas de crédito.
- IISpy – una compleja puerta trasera en del servidor con características antiforenses (9 de agosto, 11:30 CEST): Un artículo sobre una extensión maliciosa de IIS (puerta trasera) capaz de asegurar el espionaje a largo plazo en servidores comprometidos.
- IISerpent – un malware que realiza fraude SEO como servicio (11 de agosto, 11:30 CEST): Un artículo que describe una extensión maliciosa (troyano) utilizada para manipular los rankings de páginas para sitios web de terceros.