Notícias de dispositivos móveis, gadgets, aplicativos Android

Hackers usando módulo IIS armado para roubar credenciais e dados Habilitando RCE

O laboratório de segurança da Kaspersky identificou recentemente uma ameaça digital que instala módulos IIS de servidores web maliciosos que funcionam com o Microsoft Exchange Outlook Web Access.

Esses módulos maliciosos do IIS são capazes de roubar credenciais e dados de dispositivos, bem como executar comandos remotamente.

Uau

Esta amea√ßa √© apelidada de ‚ÄúOwowa‚ÄĚ, a primeira amostra desta amea√ßa foi detectada no final de 2020, quando foi enviada aos servi√ßos de seguran√ßa do VirusTotal.

Desde ent√£o, o Owowa passou por v√°rias atualiza√ß√Ķes extensas, com a vers√£o mais recente datando de abril de 2021. Owowa √© um .NET v4.0 assembly desenvolvido com C#, o invasor o carrega como um m√≥dulo dentro de um servidor web IIS que descobre o OWA (Outlook Web Access do Exchange).

De acordo com o Kaspersky relatórioNa página de login do OWA, as credenciais inseridas por qualquer usuário podem ser roubadas, e não apenas isso, mas também permite que seus operadores executem códigos e comandos arbitrários remotamente no servidor comprometido.

√Č usado principalmente em ataques contra servidores governamentais, transporte p√ļblico e outros servi√ßos cruciais em pa√≠ses como:-

  • Mal√°sia
  • Mong√≥lia
  • Indon√©sia
  • Filipinas

Habilidades de Owowa

Owowa foi programado pelos hackers para registrar todas as credenciais que resultam em acesso autorizado a servidores Microsoft Exchange infectados.

No entanto, depois disso, os hackers come√ßam a capturar as seguintes coisas: ‚Äď

  • endere√ßo de IP
  • Nome de usu√°rio
  • Senha
  • Hora de login

Aqui, depois de roubar as coisas acima, os hackers começam a criptografá-las através RSAe, em seguida, os controladores do agente malicioso executam comandos para seus envios.

Mensagens de erro de login do OWA

Mencionamos aqui abaixo todas as mensagens de erro de login do OWA que est√£o presentes pelos operadores na p√°gina de login: –

  • se o nome de usu√°rio do OWA for jFuLIXpzRdateYHoVwMlfc, o Owowa retornar√° o log de credenciais criptografadas, codificadas em base64;
  • se o nome de usu√°rio do OWA for Fb8v91c6tHiKsWzrulCeqO, o m√≥dulo malicioso exclui o conte√ļdo do log de credenciais criptografadas e retorna a string OK (criptografada usando RSA);
  • Se o nome de usu√°rio do OWA for dEUM3jZXaDiob8BrqSy2PQO1, o Owowa executa o comando digitado no campo de senha do OWA usando o PowerShell no servidor comprometido. O resultado do comando √© criptografado (conforme descrito anteriormente) e retornado ao operador.
N√≥s recomendamos:  Como desinstalar completamente o MySQL no Mac

O tipo incomum de ataque aos servidores Microsoft Exchange é o principal destaque do Owowa. A partir de web shells maliciosos, todos esses códigos são feitos e isso também permite que esses códigos sejam executados na plataforma.

Al√©m disso, nas configura√ß√Ķes de hospedagem todos esses m√≥dulos maliciosos do IIS s√£o usados, e as solu√ß√Ķes de seguran√ßa ou AVs ignoram esses m√≥dulos maliciosos do IIS, o que os torna mais furtivos e sofisticados.

Além disso, a Kaspersky ainda está examinando maneiras de dissuadir todos esses ataques, mas aqui, a forma possível de remover a infecção é a remoção dos módulos maliciosos.

Voc√™ pode nos seguir em Linkedin, Twitter, Facebook para atualiza√ß√Ķes di√°rias de not√≠cias sobre seguran√ßa cibern√©tica e hackers.