Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Teknologi
  • ESET Tangkap Basah Malware di Software Server Web Microsoft
  • Teknologi

ESET Tangkap Basah Malware di Software Server Web Microsoft

3 min read

Credit image: Pixabay

Peneliti ESET telah menemukan dan menganalisis trojan yang tidak terdokumentasi sebelumnya, ancaman ini diimplementasikan sebagai ekstensi berbahaya untuk Internet Information Service (IIS) yaitu software server web Microsoft

Malware ini menjadi bagian dari server, dan dapat mengakses semua komunikasi jaringan yang mengalir melalui server dan mencuri data yang menarik bagi pelaku, dalam hal ini informasi pembayaran dari transaksi e-commerce.

Selain menargetkan transaksi e-commerce, mereka juga mengincar mailbox pemerintah serta membantu dalam distribusi malware, jenis ancaman yang beragam ini beroperasi dengan menyadap dan merusak komunikasi server. ESET menamainya sebagai IIStealer, terdeteksi oleh solusi keamanan ESET sebagai Win64/BadIIS.

ESET menemukan lebih dari 80 sampel dan mengkategorikannya menjadi 14 keluarga malware, 10 di antaranya sebelumnya tidak terdokumentasi. Solusi keamanan ESET mendeteksi keluarga-keluarga malware ini sebagai Win {32,64/badiis dan Win {32,64}/spy.Iisniff.

Cara kerja malware IIS

Malware IIS adalah ancaman yang beragam yang digunakan untuk cybercrime, cyberespionage, dan penipuan SEO, tetapi dalam semua kasus, tujuan utamanya adalah untuk mencegat HTTP request yang masuk ke server IIS yang dikompromikan dan memengaruhi servernya.

Dengan instalasi default, IIS sendiri persisten untuk dapat bertahan dalam mesin yang disusupi, sehingga malware IIS tidak perlu lagi menerapkan mekanisme persistensi tambahan.

Setelah dikonfigurasi sebagai ekstensi IIS, modul IIS berbahaya dimuat oleh proses kerja IIS (w3wp.exe), yang menangani permintaan yang dikirim ke server, di sinilah malware IIS dapat mengganggu pemrosesan permintaan.

ESET mengidentifikasi lima mode utama Malware IIS beroperasi:

    1. Backdoor IIS memungkinkan operator mereka untuk mengontrol komputer yang dikompromikan dengan jarak jauh dengan IIS yang diinstal.
    2. IIS infostealer memungkinkan operator mereka untuk mencegat lalu lintas reguler antara server yang dikompromikan dan pengunjungnya yang sah untuk mencuri informasi seperti kredensial login dan informasi pembayaran. Menggunakan HTTPS tidak mencegah serangan ini, karena malware IIS dapat mengakses semua data yang ditangani oleh server, di mana data diproses dalam keadaan tidak terenkripsi.
    3. IIS Injector memodifikasi HTTP rquest yang dikirim ke pengunjung yang sah untuk menyajikan konten berbahaya.
    4. Proksi IIS mengubah server yang dikompromikan menjadi bagian tanpa disadari dari infrastruktur C&C untuk keluarga malware lain, dan menyalahgunakan server IIS untuk menyampaikan komunikasi antar korban malware itu dan server C&C yang sebenarnya.
    5. SEO Fraud Malware IIS memodifikasi konten yang disajikan untuk mencari mesin untuk memanipulasi algoritma SERP dan meningkatkan peringkat untuk situs web lain yang menarik bagi para peretas

Bagaimana dan di mana menyebar

Modul IIS asli memiliki akses tidak terbatas ke sumber daya apa pun yang tersedia untuk proses kerja server, dengan demikian hak administratif diperlukan untuk menginstal Malware IIS asli. Ini sangat menyempit opsi untuk vektor serangan awal. ESET telah melihat adanya dua skenario:

    • IIS malware menyebar sebagai versi trojanisasi dari modul IIS yang sah
    • IIS Malware menyebar melalui eksploitasi server

Misalnya, antara Maret dan Juni 2021, ESET mendeteksi gelombang Backdoors IIS yang menyebar melalui rantai kerentanan RCE pra-otentikasi Microsoft Exchange (CVE-2021-26855, CVE-2021-26857, CVE-2021 -27065), alias proxylogon.

Ditargetkan secara khusus adalah server Exchange yang memiliki pandangan di web (alias OWA) diaktifkan, karena IIS digunakan untuk mengimplementasikan OWA, ini adalah target yang sangat menarik untuk spionase.

Kolega ESET melaporkan kasus pertama tersebut pada Maret 2021, dan ESET telah mendeteksi empat operasi siber lebih banyak dari berbagai backdoors IIS yang menyebar ke server Microsoft Exchange melalui kerentanan yang sama.

Untuk melengkapi telemetri, ESET menampilkan pemindaian Internet untuk mendeteksi keberadaan backdoors ini, yang memungkinkan  untuk mengidentifikasi dan memberi tahu korban malware lainnya.

Berikut adalah entitas yang ikut menjadi korban:

    • Institusi Pemerintah di Tiga Negara di Asia Tenggara
    • Perusahaan telekomunikasi utama di Kamboja
    • Sebuah lembaga penelitian di Vietnam
    • Lusinan perusahaan swasta dalam berbagai industri, yang sebagian besar terletak di Kanada, Vietnam dan India, dan lainnya di Amerika Serikat, Selandia Baru, Korea Selatan, dan negara-negara lain

Perhatikan bahwa sementara Backdoors IIS mungkin cocok untuk memata-matai mailbox profil tinggi, korban Malware IIS tidak terbatas pada server yang dikompromikan, semua pengunjung yang sah dari situs web yang diselenggarakan oleh server ini adalah target potensial, karena malware yang sama dapat terus diberdayakan, seperti mencuri data sensitif dari pengunjung (IIS infostealers) atau menyajikan konten berbahaya (IIS Injectors).

Tags: Antivirus ESET Antivirus Super Ringan Antivirus Terbaik BacaPikirshare IIStealer Malware IIS Malware Internet Information Service Malware Microsoft Malware Pengakses Jaringan Prosperita Riset ESET

Continue Reading

Previous: Tantangan Cloud untuk Sistem Kerja Hybrid
Next: GEGER!! Ransomware LockBit 2.0 Kampanye Rekrut Orang Dalam

Related Stories

Tanda-tanda Router Diretas dan Cara Melindunginya Tanda-tanda Router Diretas dan Cara Melindunginya
6 min read
  • Sektor Personal
  • Teknologi

Tanda-tanda Router Diretas dan Cara Melindunginya

September 16, 2025
Memahami dan Mengelola Shadow IT di Era Digital Memahami dan Mengelola Shadow IT di Era Digital
5 min read
  • Sektor Bisnis
  • Teknologi

Memahami dan Mengelola Shadow IT di Era Digital

September 15, 2025
Mengenal Security as a Service (SECaaS) Mengenal Security as a Service (SECaaS)
3 min read
  • Sektor Bisnis
  • Teknologi

Mengenal Security as a Service (SECaaS)

September 15, 2025

Recent Posts

  • Hacker Kini Curi Data Anda di Tengah Jalan
  • Ancaman Ransomware Terbaru Incar Sistem Modern HybridPetya
  • Browser Adalah Titik Serangan Baru Sudahkah Anda Siap?
  • Cara Menjaga Mental Anak dari Ancaman Dunia Maya
  • Tiga Elemen Penting Menghadapi Ancaman Siber
  • Tanda-tanda Router Diretas dan Cara Melindunginya
  • Yakin Email dari Bos Anda Asli Begini Cara Memastikannya
  • Memahami dan Mengelola Shadow IT di Era Digital
  • Mengenal Security as a Service (SECaaS)
  • Mengapa Kata Sandi Jadi Sasaran Empuk Peretas

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • News Release
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Hacker Kini Curi Data Anda di Tengah Jalan Hacker Kini Curi Data Anda di Tengah Jalan
4 min read
  • Sektor Bisnis
  • Sektor Personal

Hacker Kini Curi Data Anda di Tengah Jalan

September 18, 2025
Ancaman Ransomware Terbaru Incar Sistem Modern HybridPetya Ancaman Ransomware Terbaru Incar Sistem Modern HybridPetya
3 min read
  • Ransomware

Ancaman Ransomware Terbaru Incar Sistem Modern HybridPetya

September 18, 2025
Browser Adalah Titik Serangan Baru Sudahkah Anda Siap? Browser Adalah Titik Serangan Baru Sudahkah Anda Siap?
3 min read
  • Sektor Bisnis
  • Sektor Personal

Browser Adalah Titik Serangan Baru Sudahkah Anda Siap?

September 17, 2025
Cara Menjaga Mental Anak dari Ancaman Dunia Maya Cara Menjaga Mental Anak dari Ancaman Dunia Maya - Terlepas dari sisi positifnya, dunia digital sering kali meniru perilaku buruk yang kita lihat di dunia nyata. Hal ini kadang bahkan memperburuknya.
4 min read
  • Edukasi
  • Sektor Personal

Cara Menjaga Mental Anak dari Ancaman Dunia Maya

September 17, 2025

Copyright © All rights reserved. | DarkNews by AF themes.