Novos malwares têm como alvo servidores de governos e transações de e-commerce

A ESET, empresa de detecção proativa de ameaças digitais, descobriu um conjunto de famílias de malware não documentadas anteriormente. As novas famílias, que se disfarçam como extensões maliciosas para o software de servidor web Internet Information Services (IIS), têm como alvo servidores de governos e sites que realizam transações de comércio eletrônico.

• Análise mostra detalhes de ransomware sequestrador de dados de hospitais
• Ransomware segue como principal ameaça digital em agosto
• Formbook domina o ranking mundial de malwares em agosto

O IIS é um software para servidores web do Windows que funciona com base em uma arquitetura modular extensível, ou seja, usuários podem adicionar novas funções ou retirar ferramentas. Ele é usado para gerenciamento e hospedagem de páginas da internet. Na pesquisa que identificou os malwares não documentados, a ESET só avaliou módulos nativos do programa, no caso, módulos que são executados ao nível de servidor. O estudo encontrou mais de 80 novos exemplares de vírus, e os classificaram em 14 famílias de ameaças, sendo que 10 dessas não tinham sido catalogadas anteriormente. 

Para Camilo Gutiérrez Amaya, chefe do Laboratório de Pesquisas da ESET América Latina, essas descobertas são preocupantes, já que ainda é raro que softwares de segurança sejam usados em servidores IIS, tornando mais fácil para os invasores operarem sem serem detectados por longos períodos.

Como as novas ameaças funcionam

A pesquisa da ESET identificou que é necessário um acesso de administrador para que os módulos maliciosos possam ser instalados. Levando isso em conta, a pesquisa especula que a infecção pode acontecer de duas formas: módulos modificados com cavalo de Troia, que ao serem instalados baixam os malwares necessários; e uso de falhas de configuração no IIS para invadir e instalar o conteúdo não legitimo. 

Quanto ao que o malware procura, a pesquisa da ESET deixa claro que independente de qual das 14 famílias está sendo responsável pelo ataque, todos procuram modificar a forma que o servidor IIS responde às requisições HTTP. Porém, a modificação de resposta depende de cada tipo de vírus. 

O estudo identificou cinco modos de operação:

• Backdoor, que permite que os criminosos controlem remotamente o computador onde IIS está instalado; 
• Infostealer, usado para roubar credenciais de acesso e informação de pagamento;
• Modo de inserção, onde o vírus modifica respostas HTTP enviada para outros servidores, com o objetivo de infectá-los;
• Proxy, que faz com que o servidor IIS se torne parte importante da operação de comando e controle do malware;
• SEO, que modifica dados de acesso da internet do servidor infectado para redirecionar o tráfego para outras páginas, buscando aumentar suas colocações de acesso na internet.

Para os usuários do IIS, a ESET criou uma série de recomendações que podem ajudar a prevenir ou mitigar ataques desses novos vírus. 

• Use contas dedicadas com senhas exclusivas e fortes para a administração do servidor IIS. Solicite autenticação multifator (MFA) para essas contas;
• Instale periodicamente atualizações de segurança para o sistema operacional e analise cuidadosamente quais serviços são expostos à Internet para reduzir o risco de exploração do servidor;
• Considere o uso de um firewall de aplicativo da web e/ou solução de segurança de endpoint no servidor IIS;
• Só use módulos confiáveis no IIS;
• Verifique regularmente ase todos os módulos instalados são legítimos, ou seja, assinados por um fornecedor confiável ou que tenham sido instalados intencionalmente.

O estudo completo, com todas as informações sobre as novas ameaças, pode ser conferido aqui. 

Fonte: ESET