Categories: Seguridad

ESET da a conocer las cinco formas en las que está actuando el malware IIS

ESET alerta sobre la existencia de hasta diez familias de malware hasta ahora no documentadas que tienen que ver con IIS. Esto es, que se implementan como extensiones maliciosas para el software de servidor web Internet Information Services.

Este malware se utiliza para tareas de espionaje y fraude SEO, entre otras acciones de ciberdelincuencia, siempre con la intención de interceptar las peticiones HTTP que llegan al servidor comprometido y afectar a la capacidad de respuesta, manipulando las comunicaciones.

En concreto, ESET ha identificado cinco modos diferentes en los que está operando el malware IIS, empezando por puertas traseras con las que controlar en remoto el ordenador comprometido. Al menos cinco puertas traseras del IIS se habrían propagado a través de la explotación de servidores de correo Microsoft Exchange a lo largo de este año.

Otra posibilidad son los robos de información mediante la interceptación de tráfico entre el servidor y sus visitantes. De este modo los delincuentes pueden hacerse con credenciales de acceso y datos de pago.

En tercer lugar figuran los inyectores de IIS que modifican las respuestas HTTP enviadas a los visitantes, lo que implica que se acaba sirviendo contenido malicioso.

Mientras, los proxies IIS pueden hacer que el servidor se convierta en una parte más de la infraestructura de mando y control de otra familia de malware.

Por último, el malware IIS relativo a SEO es capaz de alterar el contenido servido a motores de búsqueda y manipular los algoritmos de las SERP para impulsar la clasificación de páginas de interés para los atacantes.

¿Y quiénes están cayendo en las redes de esta problemática? ESET ha detectado entre sus víctimas a gobiernos y empresas del sudeste asiático, la India, Corea del Sur, Nueva Zelanda y Norteamérica.

Para evitar males mayores, los expertos recomiendan pasos básicos como mantener el software actualizado, usar cortafuegos de aplicaciones web y solución endpoint en el servidor y optar por contraseñas únicas o la autenticación multifactor en la gestión de servidores. También aconsejan comprobar la configuración con frecuencia para certificar la legitimidad de las extensiones.

Redacción Silicon

La redacción de Silicon está compuesta por profesionales del periodismo 2.0

Recent Posts

Silicon Pulse: Titulares de la semana #33

Bienvenido a un nuevo episodio del podcast semanal Silicon Pulse, un espacio en el que…

3 horas ago

Los ingresos por productos de Snowflake superan los 900 millones de dólares

De los 942,1 millones de dólares que ingresó en el tercer trimestre, 900,3 millones corresponden…

11 horas ago

Check Point: 2024, récord en ciberataques con la IA como enemiga y aliada

“En 2024 se ha registrado un crecimiento exponencial en los ciberataques, con empresas de todo…

12 horas ago

Los ingresos trimestrales de NVIDIA aumentan un 94 %

Durante su trimestre más reciente acumuló un total de 35.100 millones de dólares.

13 horas ago

Sage concluye “un año de éxito”

Durante su ejercicio fiscal 2024 mejoró un 9 % los ingresos totales subyacentes, por encima…

14 horas ago

Inetum quiere duplicar su plantilla en Aragón

Ha estrenado oficinas en Zaragoza, está presente en el Parque Tecnológico Walqa y tiene previsto…

14 horas ago