Novos malwares têm como alvo servidores de governos e transações de e-commerce

 A  ESET , empresa de detecção proativa de coleção digital, encontrada um conjunto de famílias de malware não documentadas anterior. As novas famílias, que se disfarçam como complicações maliciosas para o software de servidor web Os Serviços de Informações da Internet (IIS), têm como alvo servidores de governos e sites que realizam transações de comércio eletrônico.

O IIS é um software para servidores web do Windows que funciona com base em uma arquitetura modular extensível, ou seja, usuários podem adicionar novas funções ou retirar ferramentas. Ele é usado para gerenciamento e hospedagem de páginas da internet. Na pesquisa que identificou os malwares não documentados, a ESET só avaliou módulos nativos do programa, no caso, módulos que são suportados ao nível de servidor. O estudo encontrou mais de 80 novos exemplares de vírus, e os classificaram em 14 famílias de revisão, sendo que 10 dessas não tinham sido catalogadas anteriormente. 

Para Camilo Gutiérrez Amaya, chefe do Laboratório de Pesquisas da ESET América Latina, essas descobertas são preocupantes, já que ainda é raro que softwares de segurança sejam usados ​​em servidores IIS, tornando mais fácil para os invasores operarem sem serem detectados por longos períodos .  

Como novas corrigidos

A pesquisa da ESET identificou que é necessário um acesso de administrador para que os módulos maliciosos ser instalados. Levando isso em conta, uma pesquisa especula que a infecção pode acontecer de duas formas: módulos modificados com cavalo de Troia, que ao serem baixam instalados os malwares preparados; e uso de falhas de configuração no IIS para invadir e instalar o conteúdo não legitimo.   

Quanto ao que procura de malware, a pesquisa da ESET deixa claro que independente de qual das 14 famílias está sendo responsável pelo ataque, todos procuram modificar a forma que o servidor IIS responde às requisições HTTP. Porém, uma modificação de resposta depende de cada tipo de vírus. 

O estudo identificou cinco modos de operação:

• Backdoor, que permite que os criminosos controlem remotamente o computador onde o IIS está instalado; 
• Infostealer, usado para roubar credenciais de acesso e informação de pagamento;
• Modo de inserção, onde o vírus modifica as respostas HTTP enviado para outros servidores, com o objetivo de infectá-los;
• Proxy, que faz com que o servidor IIS se torne parte importante da operação de comando e controle do malware;
• SEO, que modifica dados de acesso da internet do servidor infectado para redirecionar o tráfego para outras páginas, buscando aumentar suas colocações de acesso na internet.

Para os usuários do IIS, um ESET criou uma série de recomendações que podem ajudar a prevenir ou mitigar novos vírus. 

• Use contas dedicadas com senhas exclusivas e fortes para a administração do servidor IIS. Solicite autenticação multifator (MFA) para essas contas;
• Instale periodicamente atualizações de segurança para o sistema operacional e analise quais serviços são expostos à Internet para reduzir o risco de exploração do servidor;
• Considere o uso de um firewall de aplicativo da web e / ou solução de segurança de endpoint no servidor IIS;
• Só use lições no IIS;
• Verificar regularmente ase todos os módulos instalados são legítimos, ou seja, assinados por um fornecedor confiável ou que foram instalados intencionalmente.

O estudo completo, com todas as informações sobre as novas correções, pode ser conferido aqui .  

                                                                                   FUNTE:CANALTECH