Um m\u00f3dulo malicioso dos Servi\u00e7os de Informa\u00e7\u00f5es da Internet (IIS, sigla em ingl\u00eas) est\u00e1 transformando o Outlook na vers\u00e3o web em uma ferramenta para roubar credenciais e um painel de acesso remoto.\u00a0 Atores desconhecidos usaram o m\u00f3dulo, que nossos pesquisadores chamam de OWOWA, em ataques direcionados.<\/p>\n
O Outlook na vers\u00e3o web (anteriormente conhecido como Exchange Web Connect, Outlook Web Access e Outlook Web App ou simplesmente OWA) \u00e9 uma interface baseada na Web para acessar o servi\u00e7o Gerenciador de Informa\u00e7\u00f5es Pessoais da Microsoft.\u00a0 O aplicativo \u00e9 implantado em servidores Web que executam o IIS.<\/p>\n
Muitas empresas o usam para fornecer aos funcion\u00e1rios acesso remoto a caixas de entrada e calend\u00e1rios corporativos sem a necessidade de instalar um cliente dedicado.\u00a0 Existem v\u00e1rios m\u00e9todos de implementa\u00e7\u00e3o do Outlook na web, um dos quais envolve o uso do Exchange Server no local, o que atrai os cibercriminosos.\u00a0 Em teoria, obter o controle desse aplicativo d\u00e1 a eles acesso a toda a troca de e-mails empresarias, junto com oportunidades infinitas de expandir seu ataque \u00e0 infraestrutura e realizar ataques BEC.<\/p>\n
O OWOWA \u00e9 carregado em servidores da Web IIS comprometidos como um m\u00f3dulo para todos os aplicativos compat\u00edveis, mas seu objetivo \u00e9 interceptar credenciais inseridas no OWA.\u00a0 O malware verifica as solicita\u00e7\u00f5es e respostas no Outlook na p\u00e1gina de login da Web e, se perceber que um usu\u00e1rio inseriu credenciais e recebeu um token de autentica\u00e7\u00e3o em resposta, ele grava o nome de usu\u00e1rio e a senha em um arquivo (em formato criptografado).<\/p>\n
Al\u00e9m disso, o OWOWA permite que os invasores controlem sua funcionalidade diretamente por meio do mesmo formul\u00e1rio de autentica\u00e7\u00e3o.\u00a0 Ao inserir certos comandos nos campos de nome de usu\u00e1rio e senha, um invasor pode recuperar as informa\u00e7\u00f5es coletadas, excluir o arquivo de log ou executar comandos arbitr\u00e1rios no servidor comprometido por meio do PowerShell.<\/p>\n
Para uma descri\u00e7\u00e3o t\u00e9cnica mais detalhada do m\u00f3dulo com indicadores de comprometimento, consulte a publica\u00e7\u00e3o da Securelist<\/a><\/u>.<\/p>\n Nossos especialistas detectaram ataques baseados em OWOWA em servidores em v\u00e1rios pa\u00edses asi\u00e1ticos: Mal\u00e1sia, Mong\u00f3lia, Indon\u00e9sia e Filipinas.\u00a0 No entanto, nossos especialistas t\u00eam motivos para acreditar que os cibercriminosos tamb\u00e9m est\u00e3o interessados \u200b\u200bem organiza\u00e7\u00f5es na Europa.<\/p>\n A maioria dos alvos eram ag\u00eancias governamentais, com pelo menos uma sendo uma empresa de transporte (tamb\u00e9m estatal).<\/p>\nQuem s\u00e3o as v\u00edtimas dos ataques OWOWA?<\/h2>\n
Como se proteger contra OWOWA<\/h2>\n