ESET descubre nuevos malware dirigidos al espionaje a gobiernos y a las transacciones del comercio electrónico

Dirigidas tanto a buzones de correo gubernamentales como a las transacciones de tarjetas de crédito del comercio electrónico, además de ayudar a la distribución de malware, esta variada clase de amenazas opera espiando y manipulando las comunicaciones del servidor. Al menos cinco puertas traseras del IIS se han propagado a través de la explotación de servidores de correo electrónico de Microsoft Exchange en 2021, según la telemetría de ESET y los resultados de los escaneos adicionales que los investigadores de ESET han realizado para detectar la presencia de estas puertas traseras.

Entre las víctimas se encuentran gobiernos del sudeste asiático y decenas de empresas pertenecientes a diversas industrias situadas principalmente en Canadá, Vietnam e India, pero también en Estados Unidos, Nueva Zelanda, Corea del Sur y otros países.

En el día de hoy, ESET Research publica el white paper "Anatomía del malware nativo de IIS" y lanza una serie de publicaciones en su blog sobre las amenazas más notables de las recientemente descubiertas IIStealer, IISpy e IISerpent. Estos artículos se publicarán de forma periódica en WeLiveSecurity a partir de hoy y hasta el 11 de agosto de 2021. Los resultados de la investigación de ESET sobre el malware IIS se presentaron por primera vez en Black Hat USA 2021 y también se compartirán con la comunidad en la conferencia Virus Bulletin 2021 el 8 de octubre de 2021.

ESET identifica 5 formas en las que opera el malware IIS

El malware IIS es una clase diversa de amenazas utilizadas para el cibercrimen, el ciberespionaje y el fraude SEO, pero en todos los casos su principal objetivo es interceptar las peticiones HTTP que llegan al servidor IIS comprometido y afectar a la forma en que el servidor responde a algunas de estas peticiones. "Los servidores web de Internet Information Services han sido objetivo de varios actores maliciosos, tanto para la ciberdelincuencia como para el ciberespionaje. La arquitectura modular del software, diseñada para proporcionar extensibilidad a los desarrolladores web, puede ser una herramienta útil para los atacantes", afirma la investigadora de ESET Zuzana Hromcová, autora del artículo.

ESET ha identificado cinco modos principales en los que opera el malware IIS:

• Las puertas traseras IIS permiten a sus operadores controlar remotamente el ordenador comprometido con IIS instalado.
• Los robos de información de IIS permiten a sus operadores interceptar el tráfico habitual entre el servidor comprometido y sus visitantes legítimos y robar información como credenciales de acceso e información de pago.
• Los inyectores de IIS modifican las respuestas HTTP enviadas a los visitantes legítimos para servir contenido malicioso.
• Los proxies IIS convierten al servidor comprometido en una parte involuntaria de la infraestructura de mando y control de otra familia de malware.
• El malware IIS relativo al SEO modifica el contenido servido a los motores de búsqueda para manipular los algoritmos de las SERP e impulsar la clasificación de otros sitios web de interés para los atacantes.

"Todavía es bastante raro que el software de seguridad se instale y ejecute en servidores IIS, lo que facilita que los atacantes operen de forma desapercibida durante largos periodos de tiempo. Esto debería ser preocupante para todos los portales web serios que quieran proteger los datos de sus visitantes, incluida la información de autenticación y pago. Las organizaciones que utilizan Outlook desde la web también deberían prestar atención, ya que depende de IIS y podría ser un objetivo interesante para el espionaje", explica Hromcová.

ESET Research ofrece varias recomendaciones que pueden ayudar a mitigar los ataques de malware IIS. Entre ellas se encuentran el uso de contraseñas únicas y seguras y la autenticación multifactor para la administración de los servidores IIS; mantener el sistema operativo actualizado; utilizar un cortafuegos de aplicaciones web y una solución endpoint en el servidor; y comprobar regularmente la configuración del servidor IIS para verificar que todas las extensiones instaladas son legítimas.

Junto con el white paper, ESET publicará los siguientes artículos en su blog desde el 6 hasta el 11 de agosto de 2021:

• Anatomía del malware nativo de IIS (6 de agosto, 17:00 CEST): un extenso white paper publicado junto con una entrada en el blog a modo de resumen.
• IIStealer: una amenaza para las transacciones en el comercio electrónico (6 de agosto, 17:00 CEST): artículo que analiza una extensión maliciosa de IIS (troyano) que intercepta las transacciones del servidor para robar la información de las tarjetas de crédito.
• IISpy: una compleja puerta trasera en el servidor con características antiforenses (9 de agosto, 11:30 CEST): artículo sobre una extensión maliciosa de IIS (puerta trasera) capaz de asegurar el espionaje a largo plazo en servidores comprometidos.
• IISerpent: malware que realiza fraude SEO como servicio (11 de agosto, 11:30 CEST): artículo que describe una extensión maliciosa (troyano) utilizada para manipular los rankings de páginas para sitios web de terceros.