Operadores de ameaça estão comprometendo servidores Windows IIS para adicionar páginas de notificação de certificados expirados que solicitam aos visitantes o download de um instalador falso malicioso. O Internet Information Services (IIS) é um software de servidor web do Windows, incluído em todas as versões desde o Windows 2000, XP e Server 2003.
A mensagem mostrada nas páginas de erro de expiração do certificado mal-intencionado diz: “Detectado um risco potencial de segurança e não estendeu a transição para [nome do site]. Atualizar um certificado de segurança pode permitir que esta conexão seja bem-sucedida. NET:: ERR_CERT_OUT_OF_DATE.”
Como observam pesquisadores de segurança do Malwarebytes Threat Intelligence, o malware é implantado por meio de um instalador de atualização falso [VirusTotal] assinado com um certificado Digicert.
A carga útil descartada nos sistemas infectados é o TVRAT — também conhecido como TVSPY, TeamSpy, TeamViewerENT ou Team Viewer RAT —, um malware projetado para fornecer a seus operadores acesso remoto total aos hosts infectados. Uma vez implantado no dispositivo, o malware irá instalar e iniciar silenciosamente uma instância do software de controle remoto TeamViewer.
Depois de ser iniciado, o servidor TeamViewer entrará em contato com um servidor de comando e controle (C&C) para permitir que os invasores saibam que podem assumir remotamente o controle total do computador recém-comprometido.
Veja isso
Hackers atacam servidor web IIS com falhas de desserialização
Onda de malware nativo do IIS atinge servidores Windows
O TVRAT apareceu pela primeira vez em 2013, quando foi entregue por meio de campanhas de spam como anexos maliciosos que enganavam os alvos para habilitar macros do Office.
Servidores IIS: vulneráveis e direcionados
Embora o método usado pelos invasores para comprometer os servidores IIS ainda não seja conhecido, eles podem usar várias maneiras de violar um servidor. Por exemplo, o código de exploração que visa uma vulnerabilidade crítica wormable encontrada na pilha de protocolo HTTP (HTTP.sys) usado pelo servidor da web Windows IIS está disponível publicamente desde maio.
A Microsoft corrigiu a falha de segurança (rastreada como CVE-2021-31166) durante a atualização de maio e disse que ela afeta apenas as versões 2004/20H2 do Windows 10 e as versões 2004/20H2 do Windows Server.
Não houve nenhuma atividade mal-intencionada abusando dessa falha em circulação desde então e, como relatado na época pelo site Bleeping Computer, a maioria dos alvos em potencial provavelmente estava a salvo de ataques, já que os usuários domésticos com as versões mais recentes do Windows 10 teriam atualizado e nas empresas não comum usar as versões mais recentes do Windows Server.