Criminosos roubam dados de servidores Microsoft Exchange via módulo malicioso

A Kaspersky identificou uma ameaça digital que instala módulos maliciosos de servidores web que funcionam com o Microsoft Exchange Outlook Web Access. Eles são capazes de roubar credenciais e dados dos dispositivos além de executar comandos de forma remota.

A ameaça, chamada Owowa, data do final de 2020, quando a primeira amostra do vírus foi enviada para o VirusTotal, serviço de escaneamento de agentes maliciosos.

Desde então, ele sofreu algumas atualizações, com a versão mais recente sendo datada de abril de 2021 e, segundo a Kaspersky, usada principalmente em ataques contra servidores de governos, transporte público e outros serviços cruciais de países como Malásia, Mongólia, Indonésia e Filipinas.

Quer ficar por dentro das melhores notícias de tecnologia do dia? Acesse e se inscreva no nosso novo canal no youtube, o Canaltech News. Todos os dias um resumo das principais notícias do mundo tech para você!

Lista de módulos em um servidor Microsoft Exchange. (Imagem: Reprodução/Kaspersky)

O principal destaque do Owowa é o fato dele ser um tipo incomum de ataque em servidores do Microsoft Exchange, que são normalmente feitos a partir de web shells maliciosas que permitem a execução de código na plataforma, e programas antivírus sempre procuram. Por outro lado, módulos IIS, sendo normalmente usados em configurações de hospedagem, não são muito investigados por soluções de proteção, o que faz com o Owowa consiga passar despercebido por elas.

Além disso, a partir dessa implementação, os criminosos podem realizar autenticações sem precisar passar pelas regras de monitoramento comuns do sistema.

A Kaspersky, por fim, acredita que a implementação da ameaça pode estar relacionada com o conjunto de falhas ProxyLogon do Microsoft Exchange, que mesmo sendo corrigidas 9 meses atrás, continuam sendo usadas em ataques em sistemas não atualizados.

Capacidades poderosas

O Owowa foi programado para registrar todas as credenciais que resultam em acessos autorizados nos servidores Microsoft Exchange infectados. Após capturar as o endereço IP, nome de usuário, senha e o horário do login, a ameaça encripta eles, através de RSA, e então os controladores do agente malicioso podem executar comandos para seus envios.

Por hora, a Kaspersky ainda está procurando formas de prevenir esses ataques, mas a firma de segurança afirma que a remoção do módulo malicioso resolve a infecção. O passo a passo para detecção e remoção do agente pode ser conferido no site oficial da empresa.

Fonte: Kaspersky

Fonte feed: canaltech.com.br

Veja também

Menu