Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Teknologi
  • ESET Tangkap Basah Malware di Software Server Web Microsoft
  • Teknologi

ESET Tangkap Basah Malware di Software Server Web Microsoft

3 min read

Credit image: Pixabay

Peneliti ESET telah menemukan dan menganalisis trojan yang tidak terdokumentasi sebelumnya, ancaman ini diimplementasikan sebagai ekstensi berbahaya untuk Internet Information Service (IIS) yaitu software server web Microsoft

Malware ini menjadi bagian dari server, dan dapat mengakses semua komunikasi jaringan yang mengalir melalui server dan mencuri data yang menarik bagi pelaku, dalam hal ini informasi pembayaran dari transaksi e-commerce.

Selain menargetkan transaksi e-commerce, mereka juga mengincar mailbox pemerintah serta membantu dalam distribusi malware, jenis ancaman yang beragam ini beroperasi dengan menyadap dan merusak komunikasi server. ESET menamainya sebagai IIStealer, terdeteksi oleh solusi keamanan ESET sebagai Win64/BadIIS.

ESET menemukan lebih dari 80 sampel dan mengkategorikannya menjadi 14 keluarga malware, 10 di antaranya sebelumnya tidak terdokumentasi. Solusi keamanan ESET mendeteksi keluarga-keluarga malware ini sebagai Win {32,64/badiis dan Win {32,64}/spy.Iisniff.

Cara kerja malware IIS

Malware IIS adalah ancaman yang beragam yang digunakan untuk cybercrime, cyberespionage, dan penipuan SEO, tetapi dalam semua kasus, tujuan utamanya adalah untuk mencegat HTTP request yang masuk ke server IIS yang dikompromikan dan memengaruhi servernya.

Dengan instalasi default, IIS sendiri persisten untuk dapat bertahan dalam mesin yang disusupi, sehingga malware IIS tidak perlu lagi menerapkan mekanisme persistensi tambahan.

Setelah dikonfigurasi sebagai ekstensi IIS, modul IIS berbahaya dimuat oleh proses kerja IIS (w3wp.exe), yang menangani permintaan yang dikirim ke server, di sinilah malware IIS dapat mengganggu pemrosesan permintaan.

ESET mengidentifikasi lima mode utama Malware IIS beroperasi:

    1. Backdoor IIS memungkinkan operator mereka untuk mengontrol komputer yang dikompromikan dengan jarak jauh dengan IIS yang diinstal.
    2. IIS infostealer memungkinkan operator mereka untuk mencegat lalu lintas reguler antara server yang dikompromikan dan pengunjungnya yang sah untuk mencuri informasi seperti kredensial login dan informasi pembayaran. Menggunakan HTTPS tidak mencegah serangan ini, karena malware IIS dapat mengakses semua data yang ditangani oleh server, di mana data diproses dalam keadaan tidak terenkripsi.
    3. IIS Injector memodifikasi HTTP rquest yang dikirim ke pengunjung yang sah untuk menyajikan konten berbahaya.
    4. Proksi IIS mengubah server yang dikompromikan menjadi bagian tanpa disadari dari infrastruktur C&C untuk keluarga malware lain, dan menyalahgunakan server IIS untuk menyampaikan komunikasi antar korban malware itu dan server C&C yang sebenarnya.
    5. SEO Fraud Malware IIS memodifikasi konten yang disajikan untuk mencari mesin untuk memanipulasi algoritma SERP dan meningkatkan peringkat untuk situs web lain yang menarik bagi para peretas

Bagaimana dan di mana menyebar

Modul IIS asli memiliki akses tidak terbatas ke sumber daya apa pun yang tersedia untuk proses kerja server, dengan demikian hak administratif diperlukan untuk menginstal Malware IIS asli. Ini sangat menyempit opsi untuk vektor serangan awal. ESET telah melihat adanya dua skenario:

    • IIS malware menyebar sebagai versi trojanisasi dari modul IIS yang sah
    • IIS Malware menyebar melalui eksploitasi server

Misalnya, antara Maret dan Juni 2021, ESET mendeteksi gelombang Backdoors IIS yang menyebar melalui rantai kerentanan RCE pra-otentikasi Microsoft Exchange (CVE-2021-26855, CVE-2021-26857, CVE-2021 -27065), alias proxylogon.

Ditargetkan secara khusus adalah server Exchange yang memiliki pandangan di web (alias OWA) diaktifkan, karena IIS digunakan untuk mengimplementasikan OWA, ini adalah target yang sangat menarik untuk spionase.

Kolega ESET melaporkan kasus pertama tersebut pada Maret 2021, dan ESET telah mendeteksi empat operasi siber lebih banyak dari berbagai backdoors IIS yang menyebar ke server Microsoft Exchange melalui kerentanan yang sama.

Untuk melengkapi telemetri, ESET menampilkan pemindaian Internet untuk mendeteksi keberadaan backdoors ini, yang memungkinkan  untuk mengidentifikasi dan memberi tahu korban malware lainnya.

Berikut adalah entitas yang ikut menjadi korban:

    • Institusi Pemerintah di Tiga Negara di Asia Tenggara
    • Perusahaan telekomunikasi utama di Kamboja
    • Sebuah lembaga penelitian di Vietnam
    • Lusinan perusahaan swasta dalam berbagai industri, yang sebagian besar terletak di Kanada, Vietnam dan India, dan lainnya di Amerika Serikat, Selandia Baru, Korea Selatan, dan negara-negara lain

Perhatikan bahwa sementara Backdoors IIS mungkin cocok untuk memata-matai mailbox profil tinggi, korban Malware IIS tidak terbatas pada server yang dikompromikan, semua pengunjung yang sah dari situs web yang diselenggarakan oleh server ini adalah target potensial, karena malware yang sama dapat terus diberdayakan, seperti mencuri data sensitif dari pengunjung (IIS infostealers) atau menyajikan konten berbahaya (IIS Injectors).

Tags: Antivirus ESET Antivirus Super Ringan Antivirus Terbaik BacaPikirshare IIStealer Malware IIS Malware Internet Information Service Malware Microsoft Malware Pengakses Jaringan Prosperita Riset ESET

Continue Reading

Previous: Tantangan Cloud untuk Sistem Kerja Hybrid
Next: GEGER!! Ransomware LockBit 2.0 Kampanye Rekrut Orang Dalam

Related Stories

Platform Sex Toy Lovense Ekspos Data Pengguna Platform Sex Toy Lovense Ekspos Data Pengguna
5 min read
  • Teknologi

Platform Sex Toy Lovense Ekspos Data Pengguna

August 5, 2025
Risiko Keamanan di Balik Jailbreaking dan Rooting Perangkat Risiko Keamanan di Balik Jailbreaking dan Rooting Perangkat
5 min read
  • Teknologi

Risiko Keamanan di Balik Jailbreaking dan Rooting Perangkat

August 1, 2025
Server Lokal vs Cloud Mana yang Lebih Aman Server Lokal vs Cloud Mana yang Lebih Aman
6 min read
  • Sektor Bisnis
  • Teknologi

Server Lokal vs Cloud Mana yang Lebih Aman

August 1, 2025

Recent Posts

  • Platform Sex Toy Lovense Ekspos Data Pengguna
  • Phising Phyton
  • Waspada Data Pribadi di Media Sosial
  • Panduan Bersih-Bersih Komputer Setelah Kena Malware
  • Risiko Keamanan di Balik Jailbreaking dan Rooting Perangkat
  • Server Lokal vs Cloud Mana yang Lebih Aman
  • Jailbreaking dan Rooting Mengubah Keamanan Perangkat Anda
  • Melacak Jejak Panggilan Penipuan yang Semakin Canggih
  • Modus Serangan yang Sedang Marak
  • Ekstensi Browser Bisa Jadi Pintu Masuk Peretas

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Platform Sex Toy Lovense Ekspos Data Pengguna Platform Sex Toy Lovense Ekspos Data Pengguna
5 min read
  • Teknologi

Platform Sex Toy Lovense Ekspos Data Pengguna

August 5, 2025
Phising Phyton Phising Phyton
3 min read
  • Sektor Bisnis

Phising Phyton

August 4, 2025
Waspada Data Pribadi di Media Sosial Waspada Data Pribadi di Media Sosial
3 min read
  • Sektor Personal
  • Tips & Tricks

Waspada Data Pribadi di Media Sosial

August 4, 2025
Panduan Bersih-Bersih Komputer Setelah Kena Malware Panduan Bersih-Bersih Komputer Setelah Kena Malware
5 min read
  • Tips & Tricks

Panduan Bersih-Bersih Komputer Setelah Kena Malware

August 1, 2025

Copyright © All rights reserved. | DarkNews by AF themes.