Identifican malware en 34 servidores de Microsoft

Un grupo de investigadores y expertos en ciberseguridad han identificado un software malicioso de puerta trasera dentro de los denominados Internet Information Server (IIS), servidores web editados por Microsoft, que ha afectado a varias organizaciones gubernamentales de todo el mundo.

Un ‘backdoor’ o de puerta trasera es una vulnerabilidad que permite a los ciberdelincuentes acceder a un servidor, página web, red local o empresarial sin ser detectado para robar documentación o desplegar malware.

Los investigadores de la empresa de ciberseguridad Kaspersky han detectado este ‘software’ malicioso, denominado SessionManager, que permite a los ciberdelincuentes mantener esta ‘backdoor’ abierta y es resistente a las actualizaciones del sistema.

LEE TAMBIÉN: Más de 44 mil peruanos fueron capacitados en cursos de alfabetización digital y producción

De ese modo, una vez logran ingresar en el sistema, pueden obtener acceso a los correos electrónicos, administrar de forma oculta los servidores comprometidos e instalar otros tipos de ‘malware’.

Fue en diciembre de 2021 cuando Kaspersky descubrió un módulo IIS desconocido denominado ‘Owowa’, capaz de robar las credenciales escritas por un usuario al iniciar sesión en Outlook Web Access.

Desde entonces, este equipo ha estado monitorizando el comportamiento de estos servidores de Microsoft y, en una investigación reciente, ha encontrado este nuevo módulo de puerta trasera no deseado.

Kaspersky ha determinado que una característica distintiva de SessionManager es su baja tasa de detección ya que, a pesar de ser descubierto por primera vez a principios de 2022, algunas de las muestras de su actividad no se han clasificado como maliciosas en los servicios de análisis y ciberseguridad ‘online’.

LEE TAMBIÉN: Microsoft notificará a usuarios el fin de Windows 8.1

Este ‘software’ malicioso habría sido identificado en 34 servidores de Microsoft pertenecientes a 20 organizaciones diferentes de Europa, Oriente Medio, Asia Meridional y África, que habrían sido infectados desde marzo de 2021.

A pesar de que este ‘malware’ opera principalmente en estas organizaciones, también se han visto comprometidas otras instituciones médicas, compañías petroleras y empresas dedicadas al transporte, entre otras.

Según las últimas investigaciones realizadas por esta empresa de ciberseguridad, a finales del mes de abril de este año SessionManager aún se registró como operativo en más de 20 organizaciones.

MIRA: Microsoft eligió a Uruguay para lanzar su primer laboratorio de IA en Latinoamérica

“Todavía es posible descubrir actividades maliciosas relacionadas meses o años más tarde, y esto probablemente será así durante mucho tiempo”, ha comentado el investigador sénior de Seguridad del equipo de análisis e investigación global de Kaspersky, Pierre Delcher.

Los expertos de la compañía han vaticinado que, debido a que ataca a víctimas similares y utiliza una variante común de OwlProxy, es posible que la agrupación de ciberdelincuentes Gelsemium se haya podido aprovechar de las vulnerabilidades de estos servidores IIS.