Titre: De nouvelles menaces pour serveur Web IIS espionnent les gouvernements et ciblent les transactions d’e-commerce, découvertes par ESET (06/08/2021 Par cda)
BRATISLAVA, MONTREAL , le 6 août 2021 — Les chercheurs d'ESET ont découvert 10 familles de logiciels malveillants encore non documentées, implémentées en tant qu'extensions malveillantes pour le logiciel le serveur Web Internet Information Services (IIS). Ciblant à la fois les boîtes aux lettres de gouvernements et les transactions d’e-commerce par carte de crédit, tout en facilitant la distribution de maliciels, ce groupe de menaces opère en espionnant et en altérant les communications du serveur.
Au moins cinq portes dérobées IIS se sont propagées via l'exploitation de serveurs de messagerie Microsoft Exchange en 2021, selon la télémétrie ESET et les résultats d'analyses supplémentaires à l'échelle d'Internet effectués par les chercheurs d'ESET pour détecter la présence de ces portes dérobées.
Parmi les victimes il y a des gouvernements d'Asie du Sud-Est et des dizaines d'entreprises, dans différents secteurs, situées principalement au Canada, au Vietnam, en Inde, ainsi qu’aux États-Unis, en Nouvelle-Zélande, en Corée du Sud et dans d'autres pays.
Aujourd'hui, ESET Research publie le livre blanc « Anatomie des maliciels IIS natifs » et lance une série de blogs sur les menaces les plus importantes qui viennent d’être découvertes: IIStealer, IISpy et IISerpent. Les blogs seront publiés sur WeLiveSecurity dès aujourd'hui et jusqu'au 11 août 2021. Les résultats de la recherche sur les maliciels IIS d'ESET ont été présentés pour la première fois à Black Hat USA 2021 et seront partagés avec la communauté lors de la conférence Virus Bulletin, le 8 octobre 2021.
Le maliciel est un groupe de menaces de cybercriminalité, de cyber-espionnage et de fraude SEO, mais son objectif principal est d'intercepter les requêtes HTTP allant vers le serveur IIS compromis et d'affecter les réponses du serveur à (certaines de) ces requêtes. « Les serveurs Web IIS ont été ciblés par divers acteurs malveillants, à la fois pour la cybercriminalité et le cyber-espionnage. L'architecture modulaire du logiciel, conçue pour offrir une extensibilité aux développeurs Web, est un outil fort utile pour les attaquants », selon Zuzana Hromcová, chercheuse chez ESET, auteur de l'article.
ESET a identifié cinq modes de fonctionnement principaux pour les maliciels IIS :
• Les portes dérobées IIS permettent à leurs opérateurs de contrôler à distance l'ordinateur compromis où IIS est installé.
• Les infostealers (voleurs d’infos) IIS permettent à leurs opérateurs d'intercepter le trafic régulier entre le serveur compromis et ses visiteurs légitimes et aussi de voler des informations telles que les informations de connexion et les informations de paiement.
• Les injecteurs IIS modifient les réponses HTTP envoyées aux visiteurs légitimes et diffusent du contenu malveillant.
• Les proxys IIS transforment le serveur compromis en une partie involontaire de l'infrastructure de commande et de contrôle pour une autre famille de maliciels.
• La fraude au référencement du malware IIS modifie le contenu fourni aux moteurs de recherche pour manipuler les algorithmes SERP et améliorer le classement d’autres sites Web intéressant les attaquants.

« C’est assez rare qu'un logiciel de sécurité s'exécute sur des serveurs IIS. Cela permet aux attaquants d'opérer inaperçus pendant de longues périodes. Cela devrait être dérangeant pour tous les portails Web sérieux qui veulent protéger les données de leurs visiteurs, y compris les informations de paiement et d'authentification. Les organisations utilisant Outlook sur le Web devraient faire attention, car il dépend d'IIS et peut être une cible d’espionnage intéressante», explique Hromcová.

ESET Research propose plusieurs recommandations pour aider à atténuer les attaques des maliciels IIS. Celles-ci incluent l'utilisation de mots de passe uniques et forts et l'authentification multi facteur pour l'administration des serveurs IIS ; maintenir le système d'exploitation à jour; l'utilisation d'un pare-feu pour Web et d'une solution de sécurité endpoint pour le serveur; contrôler régulièrement la configuration du serveur IIS pour vérifier que toutes les extensions installées sont bien légitimes.
En parallèle au livre blanc, ESET publiera des blogs d’extraits du livre du 6 au 11 août 2021 :
• Anatomie du malware IIS natif (6 août, 17h00 CEST) — un livre blanc détaillé publié avec un blog récapitulatif.
• IIStealer : une menace côté serveur pour les transactions e-commerce (6 août, 17h00 CEST) - un blog examinant une extension IIS malveillante (troyen) qui intercepte les transactions du serveur pour voler des informations de carte de crédit.
• IISpy : côté serveur, une porte dérobée complexe avec des fonctionnalités illégales (9 août à 11 h 30 CEST) : un blog sur une extension IIS malveillante (porte dérobée) capable de sécuriser à long terme l'espionnage sur les serveurs compromis.
• IISerpent : fraude ‘SEO as a service’ basée sur un maliciel (11 août 11h30 CEST) : un blog décrivant une extension malveillante (troyen côté serveur) utilisée pour manipuler le classement des pages d'un site Web tiers.

Pour plus de détails techniques sur ces menaces IIS, lisez le blog d'introduction « Anatomie des logiciels malveillants IIS natifs » et le livre blanc sur www.WeLiveSecurity , ce 6 août dès 15.00 CET. Du 6 au 11 août, vous pouvez y lire les blogs de follow-up sur IIStealer, IISpy et IISerpent. Suivez aussi ESET Research sur Twitter pour les toutes dernières nouvelles d'ESET Research.
Retour