aplicativos web
Um módulo malicioso dos Serviços de Informações da Internet (IIS, sigla em inglês) está transformando o Outlook na versão web em uma ferramenta para roubar credenciais e um painel de acesso remoto. Atores desconhecidos usaram o módulo, que nossos pesquisadores chamam de OWOWA, em ataques direcionados.
Por que o Outlook na versão web atrai invasores
O Outlook na versão web (anteriormente conhecido como Exchange Web Connect, Outlook Web Access e Outlook Web App ou simplesmente OWA) é uma interface baseada na Web para acessar o serviço Gerenciador de Informações Pessoais da Microsoft. O aplicativo é implantado em servidores Web que executam o IIS.
Muitas empresas o usam para fornecer aos funcionários acesso remoto a caixas de entrada e calendários corporativos sem a necessidade de instalar um cliente dedicado. Existem vários métodos de implementação do Outlook na web, um dos quais envolve o uso do Exchange Server no local, o que atrai os cibercriminosos. Em teoria, obter o controle desse aplicativo dá a eles acesso a toda a troca de e-mails empresarias, junto com oportunidades infinitas de expandir seu ataque à infraestrutura e realizar ataques BEC.
Como OWOWA funciona
O OWOWA é carregado em servidores da Web IIS comprometidos como um módulo para todos os aplicativos compatíveis, mas seu objetivo é interceptar credenciais inseridas no OWA. O malware verifica as solicitações e respostas no Outlook na página de login da Web e, se perceber que um usuário inseriu credenciais e recebeu um token de autenticação em resposta, ele grava o nome de usuário e a senha em um arquivo (em formato criptografado).
Além disso, o OWOWA permite que os invasores controlem sua funcionalidade diretamente por meio do mesmo formulário de autenticação. Ao inserir certos comandos nos campos de nome de usuário e senha, um invasor pode recuperar as informações coletadas, excluir o arquivo de log ou executar comandos arbitrários no servidor comprometido por meio do PowerShell.
Para uma descrição técnica mais detalhada do módulo com indicadores de comprometimento, consulte a publicação da Securelist.
Quem são as vítimas dos ataques OWOWA?
Nossos especialistas detectaram ataques baseados em OWOWA em servidores em vários países asiáticos: Malásia, Mongólia, Indonésia e Filipinas. No entanto, nossos especialistas têm motivos para acreditar que os cibercriminosos também estão interessados em organizações na Europa.
A maioria dos alvos eram agências governamentais, com pelo menos uma sendo uma empresa de transporte (também estatal).
Como se proteger contra OWOWA
Você pode usar o comando appcmd.exe – ou a ferramenta de configuração normal do IIS – para detectar o módulo OWOWA malicioso (ou qualquer outro módulo IIS de terceiros) no servidor Web IIS. Lembre-se, entretanto, de que qualquer servidor voltado para a Internet, como qualquer computador, precisa de proteção.
Dicas