חוקרי חברת אבטחת המידע ESET גילו קבוצה של 10 משפחות של תוכנות זדוניות שאינן מוכרות, אשר משתמשות בתוספים זדוניים לשרת האינטרנט של מיקרוסופט (IIS) ובאמצעותם התוקפים יכולים להשתלט ולגשת אל המידע בשרת ואף לשנות אותו.

שלוש מהמשפחות החדשות שהתגלו, ממחישות כיצד בוצע שימוש בנוזקת IIS לביצוע פשעי סייבר, ריגול ברשת והונאות SEO. המחקר הוצג לראשונה בכנסBlack Hat USA 2021. האיומים החדשים שהתגלו פועלים באמצעות ציתות והתעסקות עם תקשורת השרת, ומתמקדים בתיבות דוא"ל ממשלתיות, עסקאות של כרטיסי אשראי באתרי איקומרס והפצה נוספת של איומים ונוזקות.

על פי נתוני הטלמטריה של ESET וסריקות נוספות שערכו ברחבי האינטרנט במטרה לזהות את נוכחותן של הדלתות האחוריות עולה כי לפחות חמש מהדלתות האחוריות של IIS התפשטו באמצעות ניצול שרתי הדואר האלקטרוני של Microsoft Exchange בשנת 2021. בין הקורבנות, ממשלות בדרום מזרח אסיה ועשרות חברות השייכות לתעשיות שונות הממוקמות בקנדה, וייטנאם והודו, אך גם בארה"ב, ניו זילנד, דרום קוריאה ומדינות נוספות.

תוכנות זדוניות של IIS הן סוג של איומים מגוונים המשמשים לפשעי רשת, ריגול סייבר והונאות SEO - אך בכל המקרים, המטרה העיקרית היא ליירט בקשות HTTP הנכנסות לשרת IIS שנפגע, ולהשפיע על האופן שבו השרת מגיב (לחלק מ) לבקשות אלו.

ב-ESET זיהו חמש דרכים עיקריות בהן פועלת תוכנה זדונית של IIS:
- התחברות באמצעות דלתות אחוריות של IIS שמאפשרות למפעיליהן לשלוט מרחוק על השרת הפגוע.

- גניבת מידע של IIS אשר מאפשר למפעילים ליירט תקשורת ומידע העובר בין השרת שנפגע לבין המבקרים הלגיטימיים שלו ולגנוב מידע כגון נתונים אישיים, אישורי התחברות ופרטי תשלום.
- הטמנת נוזקות באתרים אשר גורמות נזק למחשבים של מבקרים לגיטימיים.
- שימוש בשרת שנפגע ככלי לתקיפת אתרים או מטרות אחרות.
- הונאת SEO אשר משנה את התוכן המוגש למנועי החיפוש כדי לתפעל אלגוריתמים של SERP ולהגביר את הדירוג של אתרים אחרים המעניינים את התוקפים.

כדי להעלות את רמת ההגנה ולהפחית את ההתקפות עם תוכנות IIS זדוניות, ב-ESET מציעים: שימוש בסיסמאות ייחודיות, ארוכות ומורכבות, אימות רב שלבי להתחברות לממשק ניהול של שרתי IIS, התקנת עדכוני מערכת ההפעלה באופן שוטף ותדיר, שימוש בחומת אש ופתרון אבטחת תחנות הקצה והשרתים (אנטי וירוס) ובדיקה שוטפת של תצורת שרת IIS כדי לוודא שכל התוספים המותקנים לגיטימיים