Cyberthreat.id – Perusahaan keamanan siber Malwarebytes menemukan indikasi peretasan terhadap peladen (server) Windows Internet Information Services (IIS).

Setelah berhasi menyusup, mereka menambahkan halaman notifikasi sertifikat kedaluwarsa yang meminta pengunjung mengunduh installer palsu yang berbahaya.

IIS adalah perangkat lunak server web Microsoft Windows yang disertakan semua versi Windows sejak Windows 2000, XP, dan Server 2003.

Pesan yang diamati peneliti Malwarebytes Threat Intelligence di halaman tersebut berbunyi: “Mendeteksi potensi risiko keamanan dan tidak memperpanjang transisi ke [nama situs web]. Memperbarui sertifikat keamanan memungkinkan koneksi ini berhasil. NET::ERR_CERT_OUT_OF_DATE."

Menurut peneliti, peranti lunak jahat (malware) yang disusupkan ke installer pembaruan palsu diteken dengan sertifikat Digicert.

Muatan (payload) yang dijatuhkan pada sistem yang terinfeksi berupa “TVRAT” (alias TVSPY, TeamSPY, TeamViewerENT, atau Team Viewer RAT). Muatan ini sebuah malware yang dirancang untuk memudahkan operator mengakses jarak jauh secara penuh ke perangkat yang terinfeksi, tulis BleepingComputer, diakses Selasa (21 September 2021).

Setelah disebarkan pada perangkat yang terinfeksi, malware akan diam-diam menginstal dan meluncurkan perangkat lunak kendali jarak jauh TeamViewer.

Selanjutnya, peladen TeamViewer akan menjangkau server perintah-dan-kontrol (C2) yang dikendalikan operator malware untuk memberi tahu bahwa mereka dapat mengambil kendali penuh dari komputer yang baru disusupi dari jarak jauh.

TVRAT pertama kali muncul pada tahun 2013 ketika dikirimkan melalui distribusi spam sebagai lampiran berbahaya yang menipu target untuk mengaktifkan macro pada Microsoft Office.

Belum ada aktivitas peretasan masif yang menyalahgunakan kelemahan tersebut di alam liar—sebagian besar target potensial kemungkinan aman dari serangan mengingat pengguna rumahan dengan versi Windows 10 terbaru akan memperbarui dan perusahaan tidak biasanya menggunakan versi Window Server terbaru, tulis BleepingComputer.

Namun, pengalaman sebelumnya, peretas canggih juga pernah mengeksploitasi server IIS yang terbuka di internet. Contoh terbaru adalah kelompok ancaman persisten tingkat lanjut (APT) yang dilacak sebagai “Praying Mantis” (TG1021) yang menargetkan server web Microsoft IIS, menurut laporan Agustus dari perusahaan keamanan Israe,l Sygnia.

Dalam serangan mereka, Praying Mantis menggunakan Checkbox Survey RCE Exploit (CVE-2021-27852), VIEWSTATE Deserialization and Altserialization Insecure Deserialization exploit, dan Telerik-UI Exploit (CVE-2019-18935, CVE-2017-11317).[]