Výskumníci spoločnosti ESET objavili skupinu 10 doposiaľ nezdokumentovaných rodín malvéru, ktoré sú implementované ako škodlivé rozšírenia pre softvér webového servera Internet Information Services (IIS). Táto rôznorodá skupina škodlivého kódu odpočúva a manipuluje s komunikáciou servera. Cielená je na vládne mailové schránky, transakcie kreditnými kartami na internetových obchodoch, ako aj na pomoc pri distribúcii malvéru. Podľa výskumu spoločnosti sa v roku 2021 šírilo najmenej päť IIS backdoorov prostredníctvom zneužitia mailových serverov Microsoft Exchange.
Medzi obeťami sú vlády v juhovýchodnej Ázii a desiatky spoločností z rôznych priemyselných odvetví, ktoré sa nachádzajú najmä v Kanade, Vietname a Indii, ale aj v USA, na Novom Zélande, v Južnej Kórei a ďalších krajinách. Tieto zistenia pochádzajú zo štúdie Anatomy of native IIS malware. IIS malvér je rôznorodá skupina hrozieb využívaných na kybernetickú kriminalitu, špionáž a SEO podvody. Vo všetkých prípadoch je však jeho hlavným cieľom zachytenie HTTP požiadaviek prichádzajúcich na kompromitovaný IIS server a ovplyvnenie jeho reakcií na niektoré požiadavky.
ESET identifikoval päť hlavných režimov IIS malvéru:
- IIS backdoory umožňujú ich operátorom na diaľku ovládať napadnutý počítač s nainštalovaným IIS.
- IIS infostealery umožňujú svojim operátorom zachytiť pravidelný prenos medzi napadnutým serverom a jeho legitímnymi návštevníkmi a ukradnúť napríklad prihlasovacie údaje či platobné informácie.
- IIS injektory upravujú HTTP reakcie odoslané legitímnym návštevníkom tak, aby slúžili škodlivému obsahu.
- IIS proxies robia z napadnutého servera bez vedomia používateľa súčasť príkazovej a riadiacej infraštruktúry pre inú rodinu škodlivých kódov.
- IIS malvér zameraný na SEO podvody upravuje obsah slúžiaci vyhľadávacím nástrojom tak, aby manipuloval so SERP algoritmami a zlepšoval hodnotenie iných webových stránok, ktoré zaujímajú útočníkov.
„Je stále dosť zriedkavé, aby sa bezpečnostný softvér používal aj na ochranu IIS serverov, čo útočníkom uľahčuje dlhodobé nepozorované fungovanie. To by malo byť znepokojujúce pre všetky seriózne webové portály, ktoré chcú chrániť dáta svojich návštevníkov vrátane informácií o autentifikácii a platbách. Pozor by si mali dať aj organizácie, ktoré používajú aplikáciu Outlook na webe, pretože závisí od IIS a mohla by byť zaujímavým cieľom špionáže,“ vysvetľuje Zuzana Hromcová.
Výskumníci spoločnosti odporúčajú niekoľko opatrení, ktoré môžu pomôcť zmierniť útoky na IIS web server. Medzi ne patrí používanie jedinečných, silných hesiel a viacfaktorovej autentifikácie na administráciu IIS serverov, aktualizácia operačného systému, používanie brány firewall pre webovú aplikáciu či nasadenie endpoint bezpečnostného riešenia pre server. Riziko zníži aj pravidelná kontrola konfigurácie IIS servera s cieľom overiť, či sú všetky nainštalované rozšírenia legitímne.