Uma das melhores situações para qualquer malware ocorre quando este consegue manter-se oculto de olhares atentos dos investigadores por vários meses, sem que seja identificado. Isso permite que seja mantida a sua atividade maliciosa durante um longo período de tempo.
De acordo com os investigadores, o malware, apelidado de “SessionManager”, focava-se em servidores baseados em IIS, com o Exchange, explorado falhas sobre o mesmo para tentar obter acesso aos dados existentes nestes sistemas.
Os investigadores acreditam que o malware era bastante especifico, infetando apenas sistemas direcionados para tal. Acredita-se que 34 servidores Exchange tenham sido infetados pelo SessionManager, em mais de 24 entidades diferentes, desde Março de 2021.
Em Junho deste ano, a empresa de segurança afirma que 20 das entidades ainda teriam sistemas infetados pelo malware.
MAIS: Check Point Research: Trojan Emotet é o malware mais usado pelos cibercriminosos
O malware instalava-se como um backdoors para os sistemas, dando controlo aos atacantes de realizarem qualquer atividade que fosse necessária. Isto permitia também aos atacantes obterem dados dos sistemas, que poderiam ser considerados sensíveis.
Este malware manteve as suas atividades durante mais de 15 meses, sem que fosse identificada qualquer situação. Acredita-se que um grupo de hackers conhecidos como “Gelsemium” poderá estar por detrás da criação desta ameaça.