Outlook jako narzędzie dla cyberprzestępców? Uwaga na zdalne skrzynki mailowe

O sprawie informuje Kaspersky Lab na swoim blogu. — Szkodliwy moduł internetowych usług informacyjnych (IIS) zamienia program Outlook w narzędzie do kradzieży danych logowania i panel dostępu zdalnego. Nieznane osoby wykorzystały już ten moduł (nazwany przez naszych badaczy OWOWA) do przeprowadzania ataków ukierunkowanych – informuje firma zajmująca się bezpieczeństwem w sieci, Kaspersky Lab.

Szkodliwy moduł i aplikacja Outlook

Dlaczego aplikacja Outlook w internecie przyciąga hakerów? Zdaniem firmy Kaspersky internetowy Outlook (wcześniej znany jako Exchange Web Connect, Outlook Web Access i Outlook Web App — lub po prostu OWA) to oparty na internecie interfejs umożliwiający dostęp do usługi firmy Microsoft o nazwie „Zarządca informacji osobistej” (ang. Personal Information Manager).

Zdaniem ekspertów aplikacja ta jest wdrażana na serwerach internetowych z uruchomionymi usługami IIS.Wiele firm wykorzystuje ją do zapewnienia pracownikom zdalnego dostępu do firmowych skrzynek pocztowych i kalendarzy bez konieczności instalowania specjalnego klienta. Istnieje kilka metod implementacji Outlooka w internecie, a jedna z nich polega na korzystaniu z rozwiązania Exchange Server lokalnie, co przyciąga cyberprzestępców.

Jakie jest zagrożenie? Teoretycznie przejęcie kontroli nad tą aplikacją daje im dostęp do całej firmowej korespondencji, a także nieskończone możliwości rozszerzenia ataku w infrastrukturze i uruchomienia dodatkowych kampanii BEC.

Ransomware nadal groźne. Jak się przed nim bronić?Mikołaj Frączak

Jak działa OWOWA?

Jak informują eksperci Kaspersky Lab OWOWA ładuje się na zainfekowanych serwerach sieci Web IIS jako moduł dla wszystkich kompatybilnych aplikacji, ale jej celem jest przechwytywanie danych logowania wprowadzonych na stronie OWA. Następnie to szkodliwe oprogramowanie sprawdza żądania i odpowiedzi w programie Outlook na stronie logowania, a jeśli zobaczy, że użytkownik wprowadził swoje poświadczenia i w odpowiedzi otrzymał token uwierzytelniający, zapisuje nazwę użytkownika i hasło do pliku (w postaci zaszyfrowanej).

Ponadto OWOWA umożliwia atakującym kontrolowanie funkcjonalności szkodliwego programu bezpośrednio poprzez ten sam formularz uwierzytelniający. Wprowadzając w polach nazwy użytkownika i hasła określone polecenia, osoba atakująca może pozyskać zebrane informacje, usunąć plik dziennika lub wykonać dowolne polecenia na zainfekowanym serwerze za pośrednictwem programu PowerShell.

Aby poznać bardziej szczegółowy opis techniczny modułu oraz wskaźniki naruszenia bezpieczeństwa, przeczytaj nasz post w serwisie SecureList.

Kim są ofiary ataków OWOWA?

Eksperci Kaspersky Lab wykryli ataki oparte na OWOWA wymierzone w serwery zlokalizowane w kilku krajach azjatyckich: Malezji, Mongolii, Indonezji i na Filipinach. Nasi eksperci mają jednak powody, by sądzić, że cyberprzestępcy są również zainteresowani organizacjami w Europie.Większość celów stanowiły agencje rządowe, z których co najmniej jedna była przedsiębiorstwem transportowym (również państwowym).

Jak chronić się przed OWOWA?

Szkodliwy moduł OWOWA (lub dowolny inny moduł usług IIS) można wykryć na serwerze sieciowym usług IIS za pomocą polecenia appcmd.exe — lub zwykłego narzędzia konfiguracyjnego usług IIS. Należy jednak pamiętać, że każdy serwer sieciowy, jak każdy komputer, wymaga ochrony.

Źródło: Kaspersky Lab

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.