Un modulo dannoso di Internet Information Services (IIS) sta trasformando Outlook in uno strumento per rubare credenziali e un pannello di accesso remoto. Degli attori sconosciuti hanno usato il modulo in attacchi mirati, e i nostri ricercatori lo hanno rinominato OWOWA.<\/p>\n
Outlook sul web (precedentemente noto come Exchange Web Connect, Outlook Web Access e Outlook Web App, o semplicemente OWA) \u00e8 un\u2019interfaccia basata sul web per accedere al servizio Personal Information Manager di Microsoft. L\u2019applicazione \u00e8 distribuita su server Web che eseguono IIS.<\/p>\n
Molte aziende lo usano per fornire ai dipendenti l\u2019accesso remoto alle caselle di posta e ai calendari aziendali senza dover installare un client dedicato. Ci sono diversi metodi per implementare Outlook sul web, uno dei quali comporta l\u2019utilizzo di Exchange Server in loco, che \u00e8 quello a cui sono attratti i criminali informatici. In teoria, ottenere il controllo di questa applicazione d\u00e0 loro accesso a tutta la corrispondenza aziendale, insieme a infinite opportunit\u00e0 per espandere il loro attacco all\u2019infrastruttura e lanciare ulteriori campagne BEC.<\/p>\n
OWOWA si carica sui server web IIS compromessi come un modulo per tutte le app compatibili, ma il suo scopo \u00e8 quello di intercettare le credenziali inserite in OWA. Il malware controlla le richieste e le risposte su Outlook nella pagina di accesso Web, e se vede che un utente ha inserito le credenziali e ha ricevuto un token di autenticazione in risposta, scrive il nome utente e la password in un file (in forma cifrata).<\/p>\n
Inoltre, OWOWA permette ai cybercriminali di controllare la sua funzionalit\u00e0 direttamente tramite lo stesso modulo di autenticazione. Inserendo alcuni comandi nei campi del nome utente e della password, un hacker pu\u00f2 recuperare le informazioni raccolte, cancellare il file log o eseguire comandi arbitrari sul server compromesso attraverso PowerShell.<\/p>\n
Per una descrizione tecnica pi\u00f9 dettagliata del modulo con indicatori di compromissione, leggete il nostro post su Securelist<\/a>.<\/p>\n I nostri esperti hanno rilevato attacchi basati su OWOWA su server in diversi paesi asiatici: Malesia, Mongolia, Indonesia e Filippine. Tuttavia, i nostri esperti hanno ragione di credere che i criminali informatici siano interessati anche alle organizzazioni in Europa.<\/p>\n La maggior parte degli obiettivi erano agenzie governative, con almeno una societ\u00e0 di trasporti (anch\u2019essa di propriet\u00e0 statale).<\/p>\nChi sono le vittime degli attacchi di OWOWA?<\/h2>\n
Come proteggersi da OWOWA<\/h2>\n