Descubiertas diez nuevas familias de malware que amenazan los servidores web

  • Actualidad

seguridad ataque malware

Los investigadores de Eset han identificado un conjunto de diez familias de malware no documentadas anteriormente, implementadas como extensiones maliciosas para el software de servidor web Internet Information Services (IIS). Operan espiando y manipulando las comunicaciones del servidor.

Eset ha descubierto un total de diez nuevas familias de malware, que tienen como objetivo el ciberespionaje a gobiernos y el fraude en las transacciones de correo electrónico.

Su hallazgo lo ha resumido en un white paper titulado “Anatomía del malware nativo de IIS". En él dice que estos nuevos malware tienen como objetivo tanto buzones de correo gubernamentales como transacciones con tarjetas de crédito utilizadas en comercio electrónico, y operan espiando y manipulando las comunicaciones del servidor.

El malware IIS es una clase de amenazas utilizadas para el cibercrimen, el ciberespionaje y el fraude SEO, pero en todos los casos su principal objetivo es interceptar las peticiones HTTP que llegan al servidor IIS comprometido y afectar a la forma en que el servidor responde a algunas de estas peticiones. "Los servidores web de Internet Information Services han sido objetivo de varios actores maliciosos, tanto para la ciberdelincuencia como para el ciberespionaje. La arquitectura modular del software, diseñada para proporcionar extensibilidad a los desarrolladores web, puede ser una herramienta útil para los atacantes", afirma la investigadora de Eset Zuzana Hromcová, autora del artículo.

Según sus datos de telemetría y los resultados de los escaneos adicionales que sus investigadores han realizado, al menos cinco puertas traseras del IIS se han propagado a través de la explotación de servidores de correo electrónico de Microsoft Exchange en 2021.

La firma de seguridad ha identificado cinco modos principales en los que opera el malware IIS:

-- Las puertas traseras IIS permiten a sus operadores controlar remotamente el ordenador comprometido con IIS instalado.

-- Los robos de información de IIS permiten a sus operadores interceptar el tráfico habitual entre el servidor comprometido y sus visitantes legítimos y robar información como credenciales de acceso e información de pago.

-- Los inyectores de IIS modifican las respuestas HTTP enviadas a los visitantes legítimos para servir contenido malicioso.

-- Los proxies IIS convierten al servidor comprometido en una parte involuntaria de la infraestructura de mando y control de otra familia de malware.

-- El malware IIS relativo al SEO modifica el contenido servido a los motores de búsqueda para manipular los algoritmos de las SERP e impulsar la clasificación de otros sitios web de interés para los atacantes.

Eset Research ofrece varias recomendaciones que pueden ayudar a mitigar los ataques de malware IIS: emplear contraseñas únicas y seguras y la autenticación multifactor para la administración de los servidores IIS; mantener el sistema operativo actualizado; utilizar un cortafuegos de aplicaciones web y una solución endpoint en el servidor; y comprobar regularmente la configuración del servidor IIS para verificar que todas las extensiones instaladas son legítimas.