ESET identifica novos malwares visando servidores de governo e transações de comércio eletrônico
Pesquisa recente descobriu novas famílias de malware que estão sendo usadas para crimes cibernéticos, espionagem e fraude de SEO
A ESET, empresa líder em detecção proativa de ameaças, descobriu um conjunto de famílias de malware, que não haviam sido documentados anteriormente, que são implementados como extensões maliciosas para o software de servidor web Internet Information Services (IIS). Visando servidores de e-mail do governo e sites que realizam transações de comércio eletrônico, bem como auxiliando na distribuição de malware, essa ameaça opera espionando e manipulando as comunicações do servidor.
Além de fornecer uma análise completa das famílias recentemente descobertas, o novo white paper, “Anatomia do malware nativo do IIS“, serve como um guia para ajudar a detectar, analisar e mitigar esses tipos de ameaças do lado do servidor.
O Internet Information Service, também conhecido pela sigla IIS, é o software para o servidor web do Microsoft Windows que possui uma arquitetura modular extensível. A ESET baseou sua pesquisa em módulos IIS nativos que são maliciosos, onde encontraram mais de 80 amostras exclusivas que foram ativamente usadas no contexto de uma campanha e as classificaram em 14 famílias de malware, 10 das quais não haviam sido documentadas anteriormente.
A ESET identificou os cinco mecanismos principais nos quais o malware IIS opera:
Visão geral dos mecanismos usados pelo malware para IIS
A ESET compartilha várias recomendações que podem ajudar a mitigar ataques de malware IIS:
- Use contas dedicadas com senhas exclusivas e fortes para a administração do servidor IIS. Solicite autenticação multifator (MFA) para essas contas. Monitore o uso dessas contas.
- Instale periodicamente atualizações de segurança para o sistema operacional e analise cuidadosamente quais serviços são expostos à Internet para reduzir o risco de exploração do servidor.
- Considere o uso de um firewall de aplicativo da web e/ou solução de segurança de endpoint no servidor IIS.
- Módulos nativos para IIS têm acesso irrestrito a quaisquer recursos disponíveis para o processo de trabalho do servidor; apenas módulos IIS nativos de fontes confiáveis devem ser instalados para evitar o download de versões “trojanizadas”. Esteja especialmente atento aos módulos que prometem recursos muito bons para ser verdade, como aprimorar o SEO de forma mágica.
- Verifique regularmente a configuração do servidor IIS para verificar se todos os módulos nativos instalados são legítimos (assinados por um fornecedor confiável ou instalados propositalmente).
“Ainda é muito raro que softwares de segurança de endpoint (e outros) sejam usados em servidores IIS, tornando mais fácil para os invasores operarem sem serem detectados por longos períodos. Isso deve chamar a atenção de todos os portais da web que desejam proteger seus dados de visitantes, incluindo credenciais de autenticação e informações de pagamento”, disse Camilo Gutiérrez Amaya, chefe do Laboratório de Pesquisas da ESET América Latina.
Para acessar o white paper, acesse: “Anatomia do malware IIS nativo”
Para saber mais sobre segurança de computador, entre no portal de notícias da ESET: https://www.welivesecurity.
Sobre a ESET
Desde 1987, a ESET® desenvolve soluções de segurança que ajudam mais de 100 milhões de usuários a aproveitar a tecnologia com segurança. Seu portfólio de soluções oferece às empresas e consumidores de todo o mundo um equilíbrio perfeito entre desempenho e proteção proativa. A empresa possui uma rede global de vendas que abrange 180 países e possui escritórios em Bratislava, San Diego, Cingapura, Buenos Aires, Cidade do México e São Paulo. Para mais informações, visite www.eset.com/br ou siga-nos no LinkedIn, Facebook e Twitter.
Copyright © 1992 – 2021. Todos os direitos reservados. ESET e NOD32 são marcas registradas da ESET. Outros nomes e marcas são marcas registradas de suas respectivas empresas.
