windows-829948_1280.jpg

Servidor IIS é usado para alerta de certificado expirado falso

Hackers estão comprometendo servidores Windows IIS para adicionar páginas de notificação de certificados expirados falsos para instalar malware
Da Redação
21/09/2021
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Operadores de ameaça estão comprometendo servidores Windows IIS para adicionar páginas de notificação de certificados expirados que solicitam aos visitantes o download de um instalador falso malicioso. O Internet Information Services (IIS) é um software de servidor web do Windows, incluído em todas as versões desde o Windows 2000, XP e Server 2003.

A mensagem mostrada nas páginas de erro de expiração do certificado mal-intencionado diz: “Detectado um risco potencial de segurança e não estendeu a transição para [nome do site]. Atualizar um certificado de segurança pode permitir que esta conexão seja bem-sucedida. NET:: ERR_CERT_OUT_OF_DATE.”

Como observam pesquisadores de segurança do Malwarebytes Threat Intelligence, o malware é implantado por meio de um instalador de atualização falso [VirusTotal] assinado com um certificado Digicert. 

A carga útil descartada nos sistemas infectados é o TVRAT — também conhecido como TVSPY, TeamSpy, TeamViewerENT ou Team Viewer RAT —, um malware projetado para fornecer a seus operadores acesso remoto total aos hosts infectados. Uma vez implantado no dispositivo, o malware irá instalar e iniciar silenciosamente uma instância do software de controle remoto TeamViewer.

Depois de ser iniciado, o servidor TeamViewer entrará em contato com um servidor de comando e controle (C&C) para permitir que os invasores saibam que podem assumir remotamente o controle total do computador recém-comprometido.

Veja isso
Hackers atacam servidor web IIS com falhas de desserialização
Onda de malware nativo do IIS atinge servidores Windows

O TVRAT apareceu pela primeira vez em 2013, quando foi entregue por meio de campanhas de spam como anexos maliciosos que enganavam os alvos para habilitar macros do Office.

Servidores IIS: vulneráveis ​​e direcionados

Embora o método usado pelos invasores para comprometer os servidores IIS ainda não seja conhecido, eles podem usar várias maneiras de violar um servidor. Por exemplo, o código de exploração que visa uma vulnerabilidade crítica wormable encontrada na pilha de protocolo HTTP (HTTP.sys) usado pelo servidor da web Windows IIS está disponível publicamente desde maio.

A Microsoft corrigiu a falha de segurança (rastreada como CVE-2021-31166) durante a atualização de maio e disse que ela afeta apenas as versões 2004/20H2 do Windows 10 e as versões 2004/20H2 do Windows Server.

Não houve nenhuma atividade mal-intencionada abusando dessa falha em circulação desde então e, como relatado na época pelo site Bleeping Computer, a maioria dos alvos em potencial provavelmente estava a salvo de ataques, já que os usuários domésticos com as versões mais recentes do Windows 10 teriam atualizado e nas empresas não comum usar as versões mais recentes do Windows Server.

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest