Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Los hackers de Cranefly aprovechan Microsoft IIS para desplegar malware
10 de noviembre de 2022 - Equipo de Relaciones Públicas de TuxCare
Microsoft Internet Information Services (IIS), un servidor web que permite alojar sitios y aplicaciones web, está siendo explotado por el grupo de piratas informáticos Cranefly para desplegar y controlar programas maliciosos en dispositivos infectados.
Según un informe de la empresa de ciberseguridad Symantec, el grupo de piratas informáticos aprovecha la tecnología IIS para enviar comandos a un malware de puerta trasera instalado en el dispositivo.
Al igual que cualquier servidor web, una vez que un usuario remoto accede a una página web, el IIS registra la solicitud en archivos de registro que contienen la marca de tiempo, las direcciones IP de origen, la URL solicitada, los códigos de estado HTTP, etc. Los servidores web se utilizan principalmente para almacenar peticiones de cualquier visitante en todo el mundo y rara vez son supervisados por software de seguridad.
Mientras que el malware recibe comandos a través de conexiones de red a servidores de mando y control, los registros de servidores web actúan como un gran facilitador de la actividad maliciosa, ya que los registros de servidores web pueden utilizarse para almacenar peticiones de cualquier visitante en todo el mundo. Además, rara vez son supervisados por el software de seguridad, lo que los convierte en un lugar interesante para almacenar comandos maliciosos al tiempo que se reducen las posibilidades de ser detectados.
Según los investigadores de Symantec, Cranefly utiliza un nuevo dropper llamado "Trojan.Geppei", que instala "Trojan.Danfuan", un malware desconocido hasta ahora. Los investigadores explicaron que Geppei es capaz de leer comandos directamente de los registros de IIS mientras busca cadenas específicas (wrde, Exco, Cilo, que luego son analizadas para extraer cargas útiles.
"Las cadenas Wrde, Exco y Cilo no aparecen normalmente en los archivos de registro de IIS. Parece que Geppei las utiliza para analizar peticiones HTTP maliciosas, y la presencia de estas cadenas incita al dropper a realizar actividades en una máquina", explica el informe de Symantec.
El malware también instala malware adicional (cadena "Wrde") y ejecuta un comando (cadena "Exco") o deja caer una herramienta que deshabilita fuertemente el registro IIS (fuerte "Cllo"). En algunos casos, si la petición HTTP contiene la cadena "Wrde", Geppei coloca una webshell ReGeorg o una herramienta Danfuan previamente no documentada en una carpeta específica. ReGeorg es en sí mismo un malware documentado que Cranefly utiliza para el proxy inverso. Danfuan es un malware descubierto recientemente que puede recibir código C# y compilarlo dinámicamente en la memoria del host.
Para promover tácitamente la inteligencia, Cranefly utiliza la técnica anterior para afianzarse en servidores comprometidos, una táctica que ayuda a eludir el rastreo de las fuerzas de seguridad. También ayuda a los atacantes a transmitir comandos a través de diversos canales, como servidores proxy, VPN, Tor o IDE de programación en línea.
Las fuentes de este artículo incluyen un artículo en BleepingComputer.
