Identificado novos malwares visando servidores de governo e transações de comércio eletrônico

Pesquisa recente descobriu novas famílias de malware que estão sendo usadas para crimes cibernéticos, espionagem e fraude de SEO

Compartilhar:

A ESET descobriu um conjunto de famílias de malware, que não haviam sido documentados anteriormente, que são implementados como extensões maliciosas para o software de servidor web Internet Information Services (IIS). Visando servidores de e-mail do governo e sites que realizam transações de comércio eletrônico, bem como auxiliando na distribuição de malware, essa ameaça opera espionando e manipulando as comunicações do servidor.

 

Além de fornecer uma análise completa das famílias recentemente descobertas, o novo white paper, “Anatomia do malware nativo do IIS“, serve como um guia para ajudar a detectar, analisar e mitigar esses tipos de ameaças do lado do servidor.

 

O Internet Information Service, também conhecido pela sigla IIS, é o software para o servidor web do Microsoft Windows que possui uma arquitetura modular extensível. A ESET baseou sua pesquisa em módulos IIS nativos que são maliciosos, onde encontraram mais de 80 amostras exclusivas que foram ativamente usadas no contexto de uma campanha e as classificaram em 14 famílias de malware, 10 das quais não haviam sido documentadas anteriormente.

 

A ESET identificou os cinco mecanismos principais nos quais o malware IIS opera:

 

• Use contas dedicadas com senhas exclusivas e fortes para a administração do servidor IIS. Solicite autenticação multifator (MFA) para essas contas. Monitore o uso dessas contas;

 

• Instale periodicamente atualizações de segurança para o sistema operacional e analise cuidadosamente quais serviços são expostos à Internet para reduzir o risco de exploração do servidor;

 

• Considere o uso de um firewall de aplicativo da web e/ou solução de segurança de endpoint no servidor IIS;

 

• Módulos nativos para IIS têm acesso irrestrito a quaisquer recursos disponíveis para o processo de trabalho do servidor; apenas módulos IIS nativos de fontes confiáveis devem ser instalados para evitar o download de versões “trojanizadas”. Esteja especialmente atento aos módulos que prometem recursos muito bons para ser verdade, como aprimorar o SEO de forma mágica;

 

• Verifique regularmente a configuração do servidor IIS para verificar se todos os módulos nativos instalados são legítimos (assinados por um fornecedor confiável ou instalados propositalmente).

 

“Ainda é muito raro que softwares de segurança de endpoint (e outros) sejam usados em servidores IIS, tornando mais fácil para os invasores operarem sem serem detectados por longos períodos. Isso deve chamar a atenção de todos os portais da web que desejam proteger seus dados de visitantes, incluindo credenciais de autenticação e informações de pagamento”, disse Camilo Gutiérrez Amaya, chefe do Laboratório de Pesquisas da ESET América Latina.

Conteúdos Relacionados

Security Report | Overview

Apenas 40% das organizações priorizam efetivamente as brechas de Segurança

Relatório de gerenciamento de vulnerabilidades da Tenable mostra grandes avanços na identificação de riscos, bem como os principais desafios que...
Security Report | Overview

Um terço das empresas brasileiras perderam ao menos US$1 milhão em ciberataques

Pesquisa Digital Trust Insights 2025, da PwC, indica que, apesar dos avanços, empresas enfrentam perdas milionárias nos últimos três anos
Security Report | Overview

Homens e jovens da Geração Z são mais vuneráveis a golpes online, aponta pesquisa

Análise da NordVPN ainda ressalta que o WhatsApp se destaca como o principal canal de fraudes no Brasil, com 81%...
Security Report | Overview

Pesquisa detecta setor de aviação na mira de roubo de dados e spyware

Análise conduzida pela Cipher aponta que ataques no setor devem crescer nos próximos anos, com o objetivo de roubar dados...