Le dernier livre blanc d’ESET examine les menaces contre les serveurs web Internet Information Services.

Les chercheurs d’ESET ont découvert un ensemble de 10 familles de logiciels malveillants jusqu’alors non documentées, implémentées sous forme d’extensions malveillantes pour le logiciel de serveur web Internet Information Services (IIS). Ciblant à la fois les boîtes mail des administrations publiques et les transactions de commerce électronique par carte bancaire, et diffusant des malwares, cette catégorie de menaces diversifiée espionne et altère les communications des serveurs.

Au moins cinq portes dérobées IIS se sont répandues via le détournement de serveurs de messagerie Microsoft Exchange en 2021, selon la télémétrie d’ESET et les résultats d’analyses supplémentaires effectuées sur Internet par les chercheurs d’ESET pour détecter la présence de ces portes dérobées.

Parmi les victimes figurent des gouvernements d’Asie du Sud-Est et des dizaines d’entreprises appartenant à différents secteurs d’activité situées pour la plupart au Canada, au Vietnam et en Inde, mais également aux États-Unis, en Nouvelle-Zélande, en Corée du Sud et dans d’autres pays.

Focus sur trois des familles découvertes - IIStealer, IISpy et IISerpent

ESET Research a publié le livre blanc « Anatomy of native IIS malware » ainsi qu’une série d’articles sur les menaces les plus notables parmi celles nouvellement découvertes : IIStealer, IISpy et IISerpent. Ces éléments sont disponibles en ligne sur WeLiveSecurity. Les résultats des études d’ESET sur les malwares IIS ont été présentés pour la première fois lors de la conférence Black Hat USA 2021 et seront également partagés avec la communauté à l’occasion de la conférence Virus Bulletin 2021, le 8 octobre 2021.

Ces multiples malwares IIS sont utilisées à des fins de cybercriminalité, de cyberespionnage et de fraude au SEO, mais dans tous les cas, leur objectif principal est d’intercepter les requêtes HTTP entrantes dans le serveur IIS compromis et d’affecter la manière dont le serveur répond à (certaines de) ces requêtes.

Comment les malwares IIS sont utilisés à des fins de cybercriminalité, de cyberespionnage et de fraude au SEO ?

ESET a identifié cinq modes opératoires principaux des malwares IIS :

• Les portes dérobées IIS permettent à leurs opérateurs de contrôler à distance la machine compromise sur laquelle est installé IIS.

• Les codes voleurs d’informations IIS permettent à leurs opérateurs d’intercepter le trafic échangé entre le serveur compromis et ses visiteurs légitimes, et voler des informations telles que les identifiants de connexion et les informations de paiement.

• Les injecteurs IIS modifient les réponses HTTP envoyées aux visiteurs légitimes pour servir du contenu malveillant.

• Les proxys IIS transforment le serveur compromis en élément de l’infrastructure de commande et de contrôle d’une autre famille de malwares (C&C).

• Les malwares IIS de fraude au SEO modifient le contenu transmis aux moteurs de recherche afin de manipuler les algorithmes SERP et améliorer le classement d’autres sites web présentant un intérêt pour les pirates.

Pour plus de détails techniques sur ces menaces IIS, lisez l’article de présentation « Anatomy of native IIS malware » et le livre blanc sur WeLiveSecurity, ainsi que les articles sur les malwares suivants : IIStealer, IISpy et IISerpent. Suivez l’actualité d’ESET Research sur Twitter.