Según una publicación del blog de Ars Technica, los investigadores identificaron una nueva pieza de malware denominada SessionManager. Los hackers han usado un nuevo malware para la puerta trasera de los servidores de Microsoft Exchange durante los últimos 15 meses.
Internet Information Services (IIS) se instala como servidor web de forma predeterminada en los servidores de Exchange. Las organizaciones lo usan para «implementar módulos IIS para optimizar procesos específicos en su infraestructura web». El malware a cambio explotó esto y luego se presentó como un módulo legítimo.
Los hackers han usado un nuevo malware para la puerta trasera de los servidores de Microsoft Exchange durante los últimos 15 meses
Según información recopilada por investigadores de Kaspersky, «34 servidores pertenecientes a 24 organizaciones que han sido infectados con SessionManager desde marzo de 2021″. A principios de junio, Kaspersky había indicado que 20 de las organizaciones seguían afectadas por el malware.
SessionManager proporciona «un medio ideal para implementar puertas traseras potentes, persistentes y sigilosas». Esto significa que pueden responder a solicitudes HTTP específicamente diseñadas enviadas por el operador. A su vez ayuda a los piratas informáticos a obtener información crucial de los correos electrónicos y acelera su acceso. Es bastante difícil para uno distinguir las solicitudes HTTP regulares de estas maliciosas.
Después de esto, el malware toma el control de tu dispositivo, donde el usuario ahora puede obtener acceso a las contraseñas almacenadas en su memoria. Incluso puede instalar herramientas adicionales como el cargador reflexivo basado en PowerSploit, Mimikat SSP, ProcDump y una herramienta legítima de volcado de memoria Avast.
Kaspersky ha indicado además que especulan que un grupo de piratas informáticos identificado como Gelsemium podría estar detrás de SessionManager. También han destacado que es un proceso complicado solucionar este problema.
