Criminosos roubam dados de servidores Microsoft Exchange via módulo malicioso

Criminosos roubam dados de servidores Microsoft Exchange via módulo malicioso

Por Dácio Castelo Branco | Editado por Claudio Yuge | 15 de Dezembro de 2021 às 23h20
Divulgação/Microsoft

A Kaspersky identificou uma ameaça digital que instala módulos maliciosos de servidores web que funcionam com o Microsoft Exchange Outlook Web Access. Eles são capazes de roubar credenciais e dados dos dispositivos além de executar comandos de forma remota.

A ameaça, chamada Owowa, data do final de 2020, quando a primeira amostra do vírus foi enviada para o VirusTotal, serviço de escaneamento de agentes maliciosos.

Desde então, ele sofreu algumas atualizações, com a versão mais recente sendo datada de abril de 2021 e, segundo a Kaspersky, usada principalmente em ataques contra servidores de governos, transporte público e outros serviços cruciais de países como Malásia, Mongólia, Indonésia e Filipinas.

Lista de módulos em um servidor Microsoft Exchange. (Imagem: Reprodução/Kaspersky)

O principal destaque do Owowa é o fato dele ser um tipo incomum de ataque em servidores do Microsoft Exchange, que são normalmente feitos a partir de web shells maliciosas que permitem a execução de código na plataforma, e programas antivírus sempre procuram. Por outro lado, módulos IIS, sendo normalmente usados em configurações de hospedagem, não são muito investigados por soluções de proteção, o que faz com o Owowa consiga passar despercebido por elas.

Além disso, a partir dessa implementação, os criminosos podem realizar autenticações sem precisar passar pelas regras de monitoramento comuns do sistema.

A Kaspersky, por fim, acredita que a implementação da ameaça pode estar relacionada com o conjunto de falhas ProxyLogon do Microsoft Exchange, que mesmo sendo corrigidas 9 meses atrás, continuam sendo usadas em ataques em sistemas não atualizados.

Capacidades poderosas

O Owowa foi programado para registrar todas as credenciais que resultam em acessos autorizados nos servidores Microsoft Exchange infectados. Após capturar as o endereço IP, nome de usuário, senha e o horário do login, a ameaça encripta eles, através de RSA, e então os controladores do agente malicioso podem executar comandos para seus envios.

Por hora, a Kaspersky ainda está procurando formas de prevenir esses ataques, mas a firma de segurança afirma que a remoção do módulo malicioso resolve a infecção. O passo a passo para detecção e remoção do agente pode ser conferido no site oficial da empresa.

Fonte: Kaspersky

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.