Эксперты Лаборатории Касперского обнаружили вредоносный модуль Internet Information Services, делающий из веб-приложения Outlook on the web инструмент воровства учетных данных и аналог панели удаленного доступа. Модуль получил название OWOWA.
Злоумышленники могут воспользоваться вариантом использования Outlook on the web, входящего в состав Exchange Server, установленного в инфраструктуре компании. При получении контроля над приложением они могут добраться до всей корпоративной переписки. Это дает много возможностей как для более глубокой атаки на инфраструктуру, так и для Business E-mail Compromises-атак.
Вредоносный модуль WOWA загружается на нужный сервер IIS для всех работающих приложений. Однако, создан он специально для кражи учетных данных, вводимых в OWA.
Зловред сканирует страницу входа в Outlook on the web, и, как только пользователь вводит учетные данные и успешно получает токен аутентификации, записывает логин и пароль в зашифрованном виде в файл. Кроме того, хакер может управлять функциональностью OWOWA через ту же форму аутентификации, вводя в ее поле специальные команды. Злоумышленник может выгружать собранную информацию, удалять файл с логами и выполнять произвольные команды через PowerShell на зараженном сервере. Подробнее о работе этой схемы можно почитать на Securelist.
Эксперты Лаборатории Касперского обнаружили следы атак OWOWA на серверах в нескольких азиатских странах — Малайзии, Монголии, Индонезии и на Филиппинах. Но есть вполне большая вероятность, что киберпреступников могут интересовать и европейские организации. На сайте Лаборатории Касперского сказано:
«Большая часть целей была правительственными организациями. Впрочем, среди них была как минимум одна транспортная компания, но и она принадлежала государству.»
Модуль OWOWA (как и любой такой вредоносность IIS-модуль) на веб-сервере можно обнаружить с помощью команды appcmd.exe или штатными инструментами конфигурации IIS.
