Un grupo de investigadores y expertos en ciberseguridad ha identificado un ‘software’ malicioso de puerta trasera dentro de los denominados Internet Information Server (IIS), servidores web editados por Microsoft, que ha afectado a varias organizaciones gubernamentales de todo el mundo.
Una ‘backdoor’ o puerta trasera es una vulnerabilidad que permite a los ciberdelincuentes acceder a un servidor, página web, red local o empresarial sin ser detectados para robar documentación o desplegar ‘malware’.
Los investigadores de la empresa de ciberseguridad Kaspersky han detectado este ‘software’ malicioso, denominado SessionManager, que permite a los ciberdelincuentes mantener esta ‘backdoor’ abierta y es resistente a las actualizaciones del sistema.
De ese modo, una vez logran ingresar en el sistema, pueden obtener acceso a los correos electrónicos, administrar de forma oculta los servidores comprometidos e instalar otros tipos de ‘malware’.
Kaspersky descubrió en diciembre de 2021 un módulo IIS desconocido denominado ‘Owowa’, capaz de robar las credenciales escritas por un usuario al iniciar sesión en Outlook Web Access.
Desde entonces, este equipo ha estado monitorizando el comportamiento de estos servidores de Microsoft y, en una investigación reciente, ha encontrado este nuevo módulo de puerta trasera no deseado.
Kaspersky ha determinado que una característica distintiva de SessionManager es su baja tasa de detección ya que, a pesar de ser descubierto por primera vez a principios de 2022, algunas de las muestras de su actividad no se han clasificado como maliciosas en los servicios de análisis y ciberseguridad ‘online’.
Este ‘software’ malicioso habría sido identificado en 34 servidores de Microsoft pertenecientes a 20 organizaciones diferentes de Europa, Oriente Medio, Asia Meridional y África, que habrían sido infectados desde marzo de 2021.
A pesar de que este ‘malware’ opera principalmente en estas organizaciones, también se han visto comprometidas otras instituciones médicas, compañías petroleras y empresas dedicadas al transporte, entre otras.
Según las últimas investigaciones realizadas por esta empresa de ciberseguridad, a finales del mes de abril de este año SessionManager aún se registró como operativo en más de 20 organizaciones.
“Todavía es posible descubrir actividades maliciosas relacionadas meses o años más tarde, y esto probablemente será así durante mucho tiempo”, ha comentado el investigador sénior de Seguridad del equipo de análisis e investigación global de Kaspersky, Pierre Delcher.
Los expertos de la compañía han vaticinado que, debido a que ataca a víctimas similares y utiliza una variante común de OwlProxy, es posible que la agrupación de ciberdelincuentes Gelsemium se haya podido aprovechar de las vulnerabilidades de estos servidores IIS.
Fuente EP.