Identificado un 'malware' de puerta trasera en los servidores IIS de Microsoft

Un grupo de investigadores y expertos en ciberseguridad han identificado un 'software' malicioso de puerta trasera dentro de los denominados Internet Information Server (IIS), servidores web editados por Microsoft, que ha afectado a varias organizaciones gubernamentales de todo el mundo.

Un 'backdoor' o de puerta trasera es una vulnerabilidad que permite a los ciberdelincuentes acceder a un servidor, página web, red local o empresarial sin ser detectado para robar documentación o desplegar 'malware'.

Los investigadores de la empresa de ciberseguridad Kaspersky han detectado este 'software' malicioso, denominado SessionManager, que permite a los ciberdelincuentes mantener esta 'backdoor' abierta y es resistente a las actualizaciones del sistema.

De ese modo, una vez logran ingresar en el sistema, pueden obtener acceso a los correos electrónicos, administrar de forma oculta los servidores comprometidos e instalar otros tipos de 'malware'.

Fue en diciembre de 2021 cuando Kaspersky descubrió un módulo IIS desconocido denominado 'Owowa', capaz de robar las credenciales escritas por un usuario al iniciar sesión en Outlook Web Access.

Desde entonces, este equipo ha estado monitorizando el comportamiento de estos servidores de Microsoft y, en una investigación reciente, ha encontrado este nuevo módulo de puerta trasera no deseado.

Kaspersky ha determinado que una característica distintiva de SessionManager es su baja tasa de detección ya que, a pesar de ser descubierto por primera vez a principios de 2022, algunas de las muestras de su actividad no se han clasificado como maliciosas en los servicios de análisis y ciberseguridad 'online'.

Este 'software' malicioso habría sido identificado en 34 servidores de Microsoft pertenecientes a 20 organizaciones diferentes de Europa, Oriente Medio, Asia Meridional y África, que habrían sido infectados desde marzo de 2021.

A pesar de que este 'malware' opera principalmente en estas organizaciones, también se han visto comprometidas otras instituciones médicas, compañías petroleras y empresas dedicadas al transporte, entre otras.

Según las últimas investigaciones realizadas por esta empresa de ciberseguridad, a finales del mes de abril de este año SessionManager aún se registró como operativo en más de 20 organizaciones.

"Todavía es posible descubrir actividades maliciosas relacionadas meses o años más tarde, y esto probablemente será así durante mucho tiempo", ha comentado el investigador sénior de Seguridad del equipo de análisis e investigación global de Kaspersky, Pierre Delcher.

Los expertos de la compañía han vaticinado que, debido a que ataca a víctimas similares y utiliza una variante común de OwlProxy, es posible que la agrupación de ciberdelincuentes Gelsemium se haya podido aprovechar de las vulnerabilidades de estos servidores IIS.

Cambios. Le ganó a Steffi Graf y fue N°1 de la Argentina pero a los 19 años dejó todo: qué fue de la vida de Emilse Raponi

Preocupación por el Amazonas. En 2021, el 40% de toda la pérdida de bosques nativos en el mundo ocurrió en Brasil

Celos, desamor y maltrato en el set. Las 5 grandes parejas del cine y la TV que se odiaron en la vida real

Sin servicio. No funcionó X por una hora y parece ser un nuevo problema con Cloudflare

Qué se sabe. El fallo de Cloudflare: este es el motivo de la caída masiva de Internet

“Acto de nepotismo”. Los Bukele extienden su poder también al fútbol: el hermano del presidente dirigirá la federación de El Salvador