Grupo Lazarus utiliza servidores Microsoft IIS para espalhar malware

O Microsoft Internet Information Services (IIS) tem sido alvo de ataques por parte do cibergrupo Lazarus.

Utilizado para hospedar sites e serviços de aplicações como o Outlook na Web do Microsoft Exchange, os servidores Web Microsoft IIS tornaram-se num popular vetor de ataque entre os cibercriminosos.

No início da semana investigadores do AhnLab Security Emergency Response Center (ASEC) lançaram alertas sobre ataques recentes efetuados pelo grupo em sites sul-coreanos onde os servidores IIS eram utilizados para distribuir malware. Os ataques em causa atingiram os utilizadores que utilizavam o software INISAFE CrossWeb EX V6, usado para transações financeiras eletrónicas, certificações de segurança, homebanking, entre outras. A vulnerabilidade do software tinha sido já reportada anteriormente, em 2022, depois de ter sido explorada em anexos de email em HTML.

O trabalho realizado pelo AhnLab Security Emergency Response Center mostra que existiam ataques contínuos do INISAFE contra sistemas que apresentavam versões mais antigas e sem patches do INISAFE CrossWeb EX.

“A URL de download para 'SCSKAppLink.dll' foi identificada como sendo o servidor Web IIS mencionado. Isso significa que o agente de ameaça atacou e ganhou controlo sobre os servidores Web do IIS antes de usá-los como servidores para distribuir malware”, revelou a ASEC.

O organismo recomenda às organizações que utilizam uma versão vulnerável do INISAFE CrossWeb EX V3 a desinstalá-lo e a atualizar para a versão mais recente.