Os cibercriminosos estão usando cada vez mais extensões maliciosas de servidor Web IIS, devido às suas taxas de detecção mais baixas em comparação com outras ameaças.

Entre janeiro e maio, os invasores visaram servidores Exchange e implantaram extensões IIS para obter acesso às caixas de correio de e-mail das vítimas, roubar credenciais e dados confidenciais e executar comandos.

As extensões do IIS estão ocultas nos servidores comprometidos e usam a mesma estrutura dos módulos genuínos. Assim, eles fornecem aos invasores um mecanismo de persistência durável, que pode sobreviver até mesmo às atualizações feitas no servidor.

No mês passado, um malware IIS, SessionManager, foi usado sem ser detectado desde março de 2021 em ataques direcionados a entidades governamentais e militares da Ásia, Oriente Médio, África e Europa.

Em dezembro de 2021, o malware Owowa foi entregue como extensões IIS em servidores Exchange para executar comandos e roubar credenciais remotamente. Ele foi carregado como um módulo em um servidor IIS.