Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Teknologi
  • ESET Tangkap Basah Malware di Software Server Web Microsoft
  • Teknologi

ESET Tangkap Basah Malware di Software Server Web Microsoft

3 min read

Credit image: Pixabay

Peneliti ESET telah menemukan dan menganalisis trojan yang tidak terdokumentasi sebelumnya, ancaman ini diimplementasikan sebagai ekstensi berbahaya untuk Internet Information Service (IIS) yaitu software server web Microsoft

Malware ini menjadi bagian dari server, dan dapat mengakses semua komunikasi jaringan yang mengalir melalui server dan mencuri data yang menarik bagi pelaku, dalam hal ini informasi pembayaran dari transaksi e-commerce.

Selain menargetkan transaksi e-commerce, mereka juga mengincar mailbox pemerintah serta membantu dalam distribusi malware, jenis ancaman yang beragam ini beroperasi dengan menyadap dan merusak komunikasi server. ESET menamainya sebagai IIStealer, terdeteksi oleh solusi keamanan ESET sebagai Win64/BadIIS.

ESET menemukan lebih dari 80 sampel dan mengkategorikannya menjadi 14 keluarga malware, 10 di antaranya sebelumnya tidak terdokumentasi. Solusi keamanan ESET mendeteksi keluarga-keluarga malware ini sebagai Win {32,64/badiis dan Win {32,64}/spy.Iisniff.

Cara kerja malware IIS

Malware IIS adalah ancaman yang beragam yang digunakan untuk cybercrime, cyberespionage, dan penipuan SEO, tetapi dalam semua kasus, tujuan utamanya adalah untuk mencegat HTTP request yang masuk ke server IIS yang dikompromikan dan memengaruhi servernya.

Dengan instalasi default, IIS sendiri persisten untuk dapat bertahan dalam mesin yang disusupi, sehingga malware IIS tidak perlu lagi menerapkan mekanisme persistensi tambahan.

Setelah dikonfigurasi sebagai ekstensi IIS, modul IIS berbahaya dimuat oleh proses kerja IIS (w3wp.exe), yang menangani permintaan yang dikirim ke server, di sinilah malware IIS dapat mengganggu pemrosesan permintaan.

ESET mengidentifikasi lima mode utama Malware IIS beroperasi:

    1. Backdoor IIS memungkinkan operator mereka untuk mengontrol komputer yang dikompromikan dengan jarak jauh dengan IIS yang diinstal.
    2. IIS infostealer memungkinkan operator mereka untuk mencegat lalu lintas reguler antara server yang dikompromikan dan pengunjungnya yang sah untuk mencuri informasi seperti kredensial login dan informasi pembayaran. Menggunakan HTTPS tidak mencegah serangan ini, karena malware IIS dapat mengakses semua data yang ditangani oleh server, di mana data diproses dalam keadaan tidak terenkripsi.
    3. IIS Injector memodifikasi HTTP rquest yang dikirim ke pengunjung yang sah untuk menyajikan konten berbahaya.
    4. Proksi IIS mengubah server yang dikompromikan menjadi bagian tanpa disadari dari infrastruktur C&C untuk keluarga malware lain, dan menyalahgunakan server IIS untuk menyampaikan komunikasi antar korban malware itu dan server C&C yang sebenarnya.
    5. SEO Fraud Malware IIS memodifikasi konten yang disajikan untuk mencari mesin untuk memanipulasi algoritma SERP dan meningkatkan peringkat untuk situs web lain yang menarik bagi para peretas

Bagaimana dan di mana menyebar

Modul IIS asli memiliki akses tidak terbatas ke sumber daya apa pun yang tersedia untuk proses kerja server, dengan demikian hak administratif diperlukan untuk menginstal Malware IIS asli. Ini sangat menyempit opsi untuk vektor serangan awal. ESET telah melihat adanya dua skenario:

    • IIS malware menyebar sebagai versi trojanisasi dari modul IIS yang sah
    • IIS Malware menyebar melalui eksploitasi server

Misalnya, antara Maret dan Juni 2021, ESET mendeteksi gelombang Backdoors IIS yang menyebar melalui rantai kerentanan RCE pra-otentikasi Microsoft Exchange (CVE-2021-26855, CVE-2021-26857, CVE-2021 -27065), alias proxylogon.

Ditargetkan secara khusus adalah server Exchange yang memiliki pandangan di web (alias OWA) diaktifkan, karena IIS digunakan untuk mengimplementasikan OWA, ini adalah target yang sangat menarik untuk spionase.

Kolega ESET melaporkan kasus pertama tersebut pada Maret 2021, dan ESET telah mendeteksi empat operasi siber lebih banyak dari berbagai backdoors IIS yang menyebar ke server Microsoft Exchange melalui kerentanan yang sama.

Untuk melengkapi telemetri, ESET menampilkan pemindaian Internet untuk mendeteksi keberadaan backdoors ini, yang memungkinkan  untuk mengidentifikasi dan memberi tahu korban malware lainnya.

Berikut adalah entitas yang ikut menjadi korban:

    • Institusi Pemerintah di Tiga Negara di Asia Tenggara
    • Perusahaan telekomunikasi utama di Kamboja
    • Sebuah lembaga penelitian di Vietnam
    • Lusinan perusahaan swasta dalam berbagai industri, yang sebagian besar terletak di Kanada, Vietnam dan India, dan lainnya di Amerika Serikat, Selandia Baru, Korea Selatan, dan negara-negara lain

Perhatikan bahwa sementara Backdoors IIS mungkin cocok untuk memata-matai mailbox profil tinggi, korban Malware IIS tidak terbatas pada server yang dikompromikan, semua pengunjung yang sah dari situs web yang diselenggarakan oleh server ini adalah target potensial, karena malware yang sama dapat terus diberdayakan, seperti mencuri data sensitif dari pengunjung (IIS infostealers) atau menyajikan konten berbahaya (IIS Injectors).

Tags: Antivirus ESET Antivirus Super Ringan Antivirus Terbaik BacaPikirshare IIStealer Malware IIS Malware Internet Information Service Malware Microsoft Malware Pengakses Jaringan Prosperita Riset ESET

Continue Reading

Previous: Tantangan Cloud untuk Sistem Kerja Hybrid
Next: GEGER!! Ransomware LockBit 2.0 Kampanye Rekrut Orang Dalam

Related Stories

Hati-hati Eksekutif Keuangan Phising Canggih Menguntit Hati-hati Eksekutif Keuangan Phising Canggih Menguntit
5 min read
  • Teknologi

Hati-hati Eksekutif Keuangan Phising Canggih Menguntit

June 3, 2025
SIM Card Dari Fisik ke Digital dan Risiko di Baliknya SIM Card Dari Fisik ke Digital dan Risiko di Baliknya
4 min read
  • Teknologi

SIM Card Dari Fisik ke Digital dan Risiko di Baliknya

June 3, 2025
Penipuan DocuSign Jangan Sampai Data Anda Dicuri Penipuan DocuSign Jangan Sampai Data Anda Dicuri
5 min read
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi

Penipuan DocuSign Jangan Sampai Data Anda Dicuri

June 2, 2025

Recent Posts

  • Hati-hati Eksekutif Keuangan Phising Canggih Menguntit
  • SIM Card Dari Fisik ke Digital dan Risiko di Baliknya
  • Penipuan DocuSign Jangan Sampai Data Anda Dicuri
  • Membongkar Rahasia Cara Kerja VPN
  • Mengelola dan Melindungi Jejak Digital
  • Lindungi Data dengan Enkripsi Seperti Perusahaan Besar
  • Mencegah Bisnis menjadi Korban Serangan Phising
  • Dari ClickFix ke Video TikTok Palsu
  • Riset ESET: Asia Dominasi Serangan Siber
  • Waspada Aplikasi Ledger Palsu Mengincar Pengguna macOS

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Hati-hati Eksekutif Keuangan Phising Canggih Menguntit Hati-hati Eksekutif Keuangan Phising Canggih Menguntit
5 min read
  • Teknologi

Hati-hati Eksekutif Keuangan Phising Canggih Menguntit

June 3, 2025
SIM Card Dari Fisik ke Digital dan Risiko di Baliknya SIM Card Dari Fisik ke Digital dan Risiko di Baliknya
4 min read
  • Teknologi

SIM Card Dari Fisik ke Digital dan Risiko di Baliknya

June 3, 2025
Penipuan DocuSign Jangan Sampai Data Anda Dicuri Penipuan DocuSign Jangan Sampai Data Anda Dicuri
5 min read
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi

Penipuan DocuSign Jangan Sampai Data Anda Dicuri

June 2, 2025
Membongkar Rahasia Cara Kerja VPN Membongkar Rahasia Cara Kerja VPN
6 min read
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi

Membongkar Rahasia Cara Kerja VPN

June 2, 2025

Copyright © All rights reserved. | DarkNews by AF themes.