Pozor na malware ukrytý v e-mailu! Umí krást hesla, ale i další data
- Byl nalezen nebezpečný malware v Microsoft Exchange Serveru
- Umí ukrást přihlašovací údaje při logování do aplikace
- Zatím řádí hlavně v Asii, ale pravděpodobně má oběti i v Evropě
O nález tohoto doplňku se postarala společnost Kaspersky. Nazvala ho Owowa a je velmi nebezpečný, protože umí nejenom ukrást údaje v průběhu přihlašování do aplikace Outlook Web Access, útočníkům umožňuje také získat přístup ke vzdálenému ovládání základního serveru. Navíc je velmi odolný, takže se může v zařízení ukrývat po dlouhou dobu.
Malware skrytý v e-mailovém klientu
Útočníci využívali v roce 2021 zranitelnosti Microsoft Exchange Serveru stále častěji a na povrch se dostaly hned čtyři jeho kritické chyby. Například v březnu se povedlo hackerům získat přístup ke všem registrovaným e-mailovým účtům a spustit libovolný kód.
Nyní narazili specialisté společnosti Kaspersky na další škodlivý modul, který útočníkům umožňuje získat přihlašovací údaje pro Outlook Web Access a získat kontrolu nad vzdáleným přístupem k základnímu serveru. Tento nebezpečený modul získal jméno Owowa.
Existuje již od roku 2020
Owowa se vyznačuje tím, že jeho funkce lze spustit odesláním zdánlivě neškodného požadavku – v tomto případě požadavku na ověření OWA (Outlook Web Access). Modul byl sestaven mezi koncem roku 2020 a dubnem 2021 a prozatím se zaměřuje výhradně na Asii.
Hackeři jím míří na cíle v Malajsii, Mongolsku, Indonésii a na Filipínách, většina obětí byla napojena na vládní organizace a další na státní dopravní podnik. Je ale velmi pravděpodobné, že další oběti jsou také v Evropě.
Čtěte také: IKEA, Tesco nebo Amazon lákají na výhru. Dejte pozor, jde o podvod a okradou vás!
Pasivní krádež dat
Společnosti Kaspersky se prozatím nepovedlo přiřadit tento modul k žádnému známému aktérovi podobných hrozeb. Je spojen s uživatelským jménem S3crt, které využívá vývojář stojící za několika dalšími škodlivými binárními zavaděči. Slovo S3crt je ale jednoduchou odvozeninou z anglického slova secret a mohlo by ho klidně používat víc osob.
Nebezpečnost modulu Owowa spočívá v tom, že ho útočník může použít k pasivní krádeži přihlašovacích údajů uživatelů, kteří normálně přistupují k webovým službám. To je mnohem skrytější a hůře odhalitelný způsob než klasické rozesílání phishingových mailů. K odhalení sice lze využít nástroje pro konfiguraci IIS, ty se však obvykle pro monitorování souborů a sítí nevyužívají, takže můžou Owowa snadno přehlédnout.
A nepomůže ani aktualizace – Owowa zůstává v systému i poté, co se server Microsoft Exchange aktualizuje. Je tedy důležité, aby firmy všechny jeho modulu sledovaly a všechny spuštěné moduly by se měly raději považovat za potenciálně nebezpečné a pravidelně procházet kontrolou.
Jak zabezpečit vaši organizaci před touto hrozbou?
- Pravidelně kontrolujte načtené moduly IIS na exponovaných serverech IIS (zejména na serverech Exchange) pomocí stávající sady nástrojů pro IIS
- Zaměřte svoji obrannou strategii na detekci metody „lateral movement“ (postupného pronikání útočníka do sítě přes jedno ovládnuté zařízení a získávání kontroly nad dalšími zařízeními) a na exfiltraci svých dat na internet
- Používejte řešení, jako jsou Kaspersky Endpoint Detection and Response a služba Kaspersky Managed Detection and Response, která pomáhají identifikovat a zastavit útok už v počátečních fázích, než útočníci dosáhnou svého cíle
- Používejte spolehlivé řešení k zabezpečení koncových bodů, jako je Kaspersky Endpoint Security for Business (KESB), které je vybaveno prevencí zneužití, detekcí chování a mechanismem pro obnovu provozu narušeného záškodnickými akcemi.
Video
Autor článku
Jsem příznivcem veškeré elektroniky, hlavně telefonů, počítačů a hardwaru obecně. Dále pak hráč tělem i duší, občasný sportovec a velký filmový fanda.
Jsem příznivcem veškeré elektroniky, hlavně telefonů, počítačů a hardwaru obecně. Dále pak hráč tělem i duší, občasný sportovec a velký filmový fanda.
