Οι απειλητικοί φορείς παραβιάζουν τους servers των Windows IIS για να προσθέσουν σελίδες ειδοποίησης πιστοποιητικών που έχουν λήξει και που προτρέπουν τους επισκέπτες να κατεβάσουν ένα κακόβουλο ψεύτικο πρόγραμμα εγκατάστασης.
Δείτε επίσης: FBI και CISA: Χάκερ εκμεταλλεύονται ένα κρίσιμο bug Zoho
Το Internet Information Services (IIS) είναι web server software Microsoft Windows που περιλαμβάνεται σε όλες τις εκδόσεις των Windows από τα Windows 2000, XP και Server 2003.
Το μήνυμα που εμφανίζεται στις κακόβουλες σελίδες σφάλματος λήξης του πιστοποιητικού αναφέρει: “Εντοπίστηκε ένας πιθανός κίνδυνος ασφαλείας και δεν επέκτεινε τη μετάβαση στο [όνομα ιστότοπου]. Η ενημέρωση ενός πιστοποιητικού ασφαλείας μπορεί να επιτρέψει την επιτυχία αυτής της σύνδεσης. NET::ERR_CERT_OUT_OF_DATE.”
Όπως παρατήρησαν οι ερευνητές ασφαλείας Malwarebytes Threat Intelligence, το malware που εγκαταστάθηκε μέσω ενός ψεύτικου προγράμματος εγκατάστασης ενημερώσεων (VirusTotal) υπογράφηκε με πιστοποιητικό Digicert.
Το payload που “πέφτει” σε μολυσμένα συστήματα είναι το TVRAT (γνωστό και ως TVSPY, TeamSpy, TeamViewerENT ή Team Viewer RAT), ένα malware που έχει σχεδιαστεί για να παρέχει στους χειριστές του πλήρη απομακρυσμένη πρόσβαση σε μολυσμένα hosts.
Μόλις αναπτυχθεί σε μολυσμένη συσκευή, το malware θα εγκαταστήσει αθόρυβα και θα εκκινήσει ένα instance του remote control software TeamViewer.
Μετά την εκκίνηση, ο TeamViewer server θα επικοινωνήσει με έναν command-and-control (C2) server για να ενημερώσει τους επιτιθέμενους ότι μπορούν να αναλάβουν εξ αποστάσεως τον πλήρη έλεγχο του νέου υπολογιστή που παραβιάστηκε.
Το TVRAT εμφανίστηκε για πρώτη φορά το 2013 όταν παραδόθηκε μέσω καμπάνιας spam όπου κακόβουλα συνημμένα εξαπάτησαν τους στόχους για να ενεργοποιήσουν τις μακροεντολές του Office.
Δείτε επίσης: Χάκερ στοχεύουν τη σύνδεση των θυμάτων τους στο διαδίκτυο
Servers IIS: Ευάλωτοι
Ενώ η μέθοδος που χρησιμοποιούν οι επιτιθέμενοι για να παραβιάσουν τους servers IIS δεν είναι ακόμη γνωστή, οι επιτιθέμενοι μπορούν να χρησιμοποιήσουν διάφορους τρόπους για να παραβιάσουν έναν server Windows IIS.
Για παράδειγμα, η εκμετάλλευση κώδικα που στοχεύει μια κρίσιμη ευπάθεια που εντοπίζεται στο HTTP Protocol Stack (HTTP.sys) που χρησιμοποιείται από τον web server των Windows IIS είναι διαθέσιμη δημόσια από τον Μάιο.
Η Microsoft επιδιορθώνει το ελάττωμα ασφαλείας (εντοπίστηκε ως CVE-2021-31166) κατά την Τρίτη του Patch May και είπε ότι επηρεάζει μόνο τις εκδόσεις Windows 10 2004/20H2 και τις εκδόσεις Windows Server 2004/20H2.
Από τότε δεν είχε εντοπιστεί άλλη κακόβουλη δραστηριότητα κατάχρησης αυτού του ελαττώματος και, όπως είχε αναφερθεί τότε, οι περισσότεροι πιθανοί στόχοι πιθανότατα ήταν ασφαλείς από επιθέσεις δεδομένου ότι οι οικιακοί χρήστες με τις πιο πρόσφατες εκδόσεις των Windows 10 θα είχαν ενημερωθεί και οι εταιρείες συνήθως δεν χρησιμοποιούν τις πιο πρόσφατες εκδόσεις Window Server.
Δείτε επίσης: Ο χάκερ που προκάλεσε εγκεφαλικά, λέει ότι έκλεψε 600 εκατ. crypto “για πλάκα”!
Ωστόσο, οι απειλητικοί φορείς που χρηματοδοτούνται από το κράτος έχουν χρησιμοποιήσει και διάφορα άλλα exploits για να παραβιάσουν τους (internet-facing) servers IIS στο παρελθόν.
Πηγή πληροφοριών: bleepingcomputer.com
