Výzkumníci z kyberbezpečnostnej firmy ESET objevili skupinu deseti dosud nezdokumentovaných rodin malwaru, které jsou implementovány jako škodlivé rozšíření pro software webového serveru Internet Information Services (IIS). Tato skupina škodlivého kódu odposlouchává a manipuluje komunikaci serveru. Cíli zejména na vládní e-mailové schránky, transakce kreditními kartami na internetových obchodech, tak na pomoc při distribuci malwaru.
Mezi oběťmi nových rodin malwaru jsou zejména vlády v jihovýchodní Asii a desítky společností z různých průmyslových odvětví, které se nacházejí hlavně v Kanadě, Vietnamu a Indii, ale i v USA, na Novém Zélandu, v Jižní Koreji a dalších zemích.
Jak vysvětlili výzkumníci, hrozby se využívají na kyberkriminalitu, špionáž či podvody. „Ve všech případech je však jeho hlavním cílem zachycení HTTP požadavků přicházejících na kompromitován IIS server a ovlivnění jeho reakcí na některé požadavky,“ vysvětlili experti.
Při novém druhu hrozeb identifikovali výzkumníci pět hlavních režimů malwaru. Jeden z nich umožňuje operátorům na dálku ovládat napadený počítač, druhý zase umožňuje zachytit pravidelný přenos mezi napadeným serverem a jeho legitimním návštěvníky a ukrást přihlašovací data či platební informace. Další režim upravuje HTTP reakce odeslány návštěvníky tak, aby sloužil škodlivému obsahu a jiný zase dělá z napadeného serveru bez vědomí uživatele součást příkazové a řídicí infrastruktury pro jinou rodinu škodlivých kódů. Malware zaměřený na SEO podvody zase upravuje obsah sloužící vyhledávačem tak, aby manipuloval s algoritmy a zlepšoval hodnocení jiných webových stránek, které zajímají útočníků.
„Je stále dost vzácné, aby se bezpečnostní software používal i na ochranu IIS serverů, což útočníkům usnadňuje dlouhodobé nepozorované fungování,“ míní výzkumnice společnosti Zuzana Hromcová. Mělo by to podle ní znepokojovat všechny seriózní webové portály, které chtějí chránit data svých návštěvníků. Na pozoru by podle ní měly být i organizace, které používají aplikaci Outlook na webu, mohla by být zajímavým cílem špionáže.
Jako prevenci před útoky doporučují experti používat jedinečné, silné hesla a vícefaktorovou autentizaci. Třeba myslet i na aktualizaci operačního systému, používání brány firewall pro webovou aplikaci či nasazení bezpečnostního řešení. „Riziko sníží i pravidelná kontrola konfigurace IIS serveru s cílem ověřit, zda jsou všechny nainstalované rozšíření legitimní,“ uzavřeli experti.
