Malware Owowa descoberto em servidores Microsoft Exchange IIS
Os servidores da Microsoft foram alvo de vários ataques de cibercrime em grande escala em 2021. Uma das últimas campanhas envolve a implantação de um complemento IIS malicioso, classificado como malware, denominado Owowa. Este componente projetado de forma mal-intencionada dos Serviços de Informações da Internet (IIS) é capaz de executar ataques de phishing e comandos remotos no servidor comprometido. Claro, é importante incluir que o Malware Owowa não é fácil de plantar em servidores - os criminosos ainda precisam encontrar uma maneira de entregar o complemento malicioso e obter um usuário com permissões elevadas para executá-lo.
Malware Owowa foi compilado pela primeira vez em 2020
Uma das descobertas surpreendentes sobre o Malware Owowa é o fato de que algumas das cargas foram compiladas pela primeira vez em 2020, o que significa que esse malware pode ter funcionado sem ser detectado por um longo período de tempo. O escopo do ataque de Malware Owowa ainda não está claro, mas é possível que milhares de servidores Microsoft Exchange tenham sido comprometidos com o uso desse malware.
Um dos componentes que esse malware busca em particular é o Outlook Web Access (OWA) encontrado na maioria dos servidores Microsoft Exchange. Ele é responsável por lidar com as solicitações de login do Outlook, o que explica como os criminosos abusariam do implante malicioso para coletar credenciais de login.
Operadores de malware Owowa usam um método peculiar para comandar o implante
A maneira como o Owowa Malware executa comandos remotos também é muito inovadora. Os criminosos usam a página de login da página comprometida do OWA para fornecer os comandos nos arquivos de nome de usuário e senha. Ao inserir strings específicas, os criminosos podem comandar o Owowa Malware para:
- Retorne credenciais de login roubadas em um formato codificado em base64.
- Limpe o log de credenciais roubadas armazenadas no servidor comprometido.
- Execute um comando do PowerShell enviado por meio do campo de senha.
Uma grande fração das vítimas do Malware Owowa parece estar na Malásia, Mongólia, Indonésia e Filipinas. No entanto, é provável que existam muitas outras organizações e empresas que tiveram seus servidores comprometidos por este ataque. Os administradores podem proteger seus servidores Microsoft Exchange com o uso de ferramentas antivírus atualizadas e implementando políticas de segurança adequadas.