Злоумышленники взламывают серверы Windows IIS, чтобы добавить страницу уведомления об истекшим сертификате, предлагающие пользователям загрузить вредоносный поддельный установщик.

IIS (Internet Information Services) - это программное обеспечение веб-сервера Microsoft Windows, включенное во все версии Windows, начиная с Windows 2000, XP и Server 2003.

Как отметили исследователи безопасности Malwarebytes Threat Intelligence, устанавливаемое вредоносное ПО - это TVRAT (также известное как TVSPY, TeamSpy, TeamViewerENT или Team Viewer RAT). Эта вредоносная программа предназначена для предоставления злоумышленникам полного удаленного доступа к зараженным устройсвам.

После развертывания на зараженном устройстве вредоносная программа скрытно установится и запустит экземпляр программы удаленного управления TeamViewer.

Хотя метод, используемый злоумышленниками для взлома серверов IIS, еще не известен, злоумышленники могут использовать различные способы взлома сервера Windows IIS. Например, код эксплойта, нацеленный на критическую уязвимость (CVE-2021-31166), обнаруженную в HTTP Protocol Stack (HTTP.sys), используемом веб-сервером Windows IIS, стал общедоступным с мая.

Microsoft исправила эту уязвимость безопасности в рамках «Вторника исправлений» в мае и заявила, что она влияет только на Windows 10 версий 2004/20H2 и Windows Server версий 2004/20H2.

Источник: bleepingcomputer.com