Owowa Malware scoperto sui server IIS di Microsoft Exchange

I server Microsoft sono stati l'obiettivo di molteplici attacchi di criminalità informatica su larga scala nel 2021. Una delle ultime campagne prevede l'implementazione di un componente aggiuntivo IIS dannoso, classificato come malware chiamato Owowa. Questo componente dannoso di Internet Information Services (IIS) è in grado di eseguire attacchi di phishing ed eseguire comandi remoti sul server compromesso. Ovviamente, è importante includere che il malware Owowa non è facile da installare sui server: i criminali devono ancora trovare un modo per distribuire il componente aggiuntivo dannoso e ottenere un utente con autorizzazioni elevate per eseguirlo.

Owowa Malware è stato compilato per la prima volta nel 2020

Una delle scoperte sorprendenti sul malware Owowa è il fatto che alcuni dei payload sono stati compilati per la prima volta nel 2020, il che significa che questo malware potrebbe funzionare inosservato per un periodo di tempo molto lungo. La portata dell'attacco Owowa Malware non è ancora chiara, ma è possibile che migliaia di server Microsoft Exchange siano stati compromessi con l'uso di questo malware.

Uno dei componenti che questo malware cerca in particolare è Outlook Web Access (OWA) che si trova sulla maggior parte dei server Microsoft Exchange. È responsabile della gestione delle richieste di accesso per Outlook, il che spiega come i criminali abusino dell'impianto dannoso per raccogliere le credenziali di accesso.

Gli operatori di malware Owowa utilizzano un metodo particolare per comandare l'impianto

Anche il modo in cui Owowa Malware esegue i comandi remoti è molto innovativo. I criminali utilizzano la pagina di accesso della pagina OWA compromessa per fornire i comandi nei file nome utente e password. Inserendo stringhe specifiche, i criminali sono in grado di comandare al malware Owowa di:

• Restituisci le credenziali di accesso rubate in un formato con codifica base64.
• Cancella il registro delle credenziali rubate archiviate sul server compromesso.
• Esegui un comando PowerShell inviato tramite il campo della password.

Una parte importante delle vittime di Owowa Malware sembra essere in Malesia, Mongolia, Indonesia e Filippine. Tuttavia, è probabile che ci siano molte altre organizzazioni e aziende i cui server sono stati compromessi da questo attacco. Gli amministratori possono proteggere i propri server Microsoft Exchange con l'utilizzo di strumenti antivirus aggiornati e implementando politiche di sicurezza adeguate.