Se ha detectado un nuevo malware que ha sido utilizado para abrir puertas traseras en servidores de Microsoft Exchange pertenecientes a organizaciones gubernamentales y de otro tipo en todo el mundo, según Kaspersky Lab.

El proveedor ruso de ciberseguridad dijo que esta puerta trasera permite a los actores de la amenaza mantener un acceso persistente, resistente a las actualizaciones y «sigiloso» a la infraestructura informática de una organización objetivo.

Los investigadores de Kaspersky detectaron por primera vez el malware, llamado SessionManager, a principios de 2022 como un módulo malicioso para Internet Information Services (IIS) de Microsoft.

Dijeron que el malware tiene un bajo índice de detección, ya que algunas de las muestras de puertas traseras no habían sido marcadas como maliciosas por algunos de los servicios de escaneo de archivos en línea más populares.

Una vez que el backdoor está en el sistema de la víctima, Kaspersky dijo que puede ser utilizado para obtener acceso a los correos electrónicos de la empresa, instalar otros tipos de malware o gestionar sutilmente los servidores comprometidos, que pueden ser utilizados como infraestructura maliciosa para el ciberatacante.

El proveedor de ciberseguridad dijo que encontró 24 organizaciones de Europa, Oriente Medio, el sur de Asia y África que han sido comprometidas por SessionManager.

El actor de la amenaza que está detrás del malware ha mostrado un «interés especial» en las ONG y las entidades gubernamentales, añadió, pero las organizaciones médicas, las compañías petroleras, las empresas de transporte y otros grupos también han sido objeto de ataques.

Un mapa del mundo con algunos países resaltados en verde. Se utiliza para representar los lugares en los que el malware SessionManager se ha cebado con las organizaciones.

Map of organisations targeted by SessionManager. Image: Kaspersky Labs

«Hasta la fecha, SessionManager sigue desplegado en más del 90 por ciento de las organizaciones seleccionadas, según un análisis de Internet realizado por los investigadores de Kaspersky», dijo la empresa rusa en un comunicado. blogpost ayer (30 de junio).

Kaspersky compartió las formas recomendadas para que las organizaciones se protejan, como la realización de comprobaciones periódicas de los módulos ISS cargados, el uso de servicios de seguridad para puntos finales y una estrategia de defensa centrada en la detección de movimientos laterales y la exfiltración de datos.

Pierre Delcher, investigador senior de seguridad de Kaspersky, dijo que la explotación de las vulnerabilidades de los servidores de intercambio se ha convertido en un «favorito» para los ciberdelincuentes que buscan entrar en la infraestructura objetivo.

«En el caso de los servidores Exchange, no podemos insistir lo suficiente, las vulnerabilidades del año pasado los han convertido en objetivos perfectos, sea cual sea la intención maliciosa, por lo que deben ser cuidadosamente auditados y monitorizados en busca de implantes ocultos, si no lo estaban ya.»

Kaspersky Lab recibió un golpe a principios de este año cuando se designado como amenaza para la seguridad nacional por la Comisión Federal de Comunicaciones de Estados Unidos. Esta designación impide a las empresas estadounidenses utilizar las subvenciones federales para adquirir productos o servicios de la empresa.

«Esta decisión no se basa en ninguna evaluación técnica de los productos de Kaspersky -que la empresa defiende continuamente-, sino que se hace por motivos políticos», dijo la empresa en un declaración en ese momento.

10 cosas que necesitas saber directamente en tu bandeja de entrada cada día de la semana. Inscríbase en el Resumen diario El resumen de Silicon Republic de las noticias esenciales de ciencia y tecnología.