Kaspersky ha individuato OWOWA, un modulo IIS dannoso

I ricercatori hanno scoperto un modulo dannoso IIS che rende Outlook sul web uno strumento per i criminali informatici.

Il team di esperti di Kaspersky ha individuato un modulo dannoso di Internet Information Services (IIS) che sta trasformando Outlook in uno strumento sfruttato da cybercriminali per rubare credenziali e un pannello di accesso remoto. Degli hacker, infatti, hanno usato il modulo per attacchi mirati, e i ricercatori della società specializzata nella produzione di software progettati per la sicurezza informatica lo hanno rinominato OWOWA: vediamo cos’è e come agisce.

L’allarme di Kaspersky

Outlook sulla rete è un’interfaccia basata sul web per accedere al servizio Personal Information Manager di Microsoft. L’applicazione è distribuita su server Web che eseguono IIS e viene utilizzato dal molte aziende per fornire ai dipendenti l’accesso remoto alle caselle di posta e ai calendari aziendali senza dover installare un client dedicato. “Per implementare Outlook sul web – spiegano gli esperti di Kaspersky –  ci sono vari metodi, uno dei quali comporta l’utilizzo di Exchange Server in loco, che è quello a cui sono attratti i criminali informatici”.

Ottenere il controllo di questa applicazione dà accesso agli hacker a tutta la corrispondenza aziendale, insieme a molteplici opportunità per espandere il loro attacco all’infrastruttura e lanciare ulteriori campagne BEC.

OWOWA si carica quindi sui server web IIS compromessi come un modulo per tutte le app compatibili, ma il suo scopo “è quello di intercettare le credenziali inserite in OWA. Il malware controlla le richieste e le risposte su Outlook nella pagina di accesso Web, e se vede che un utente ha inserito le credenziali e ha ricevuto un token di autenticazione in risposta, scrive il nome utente e la password in un file (in forma cifrata)” spiega ancora il Kaspersky Team, le cui analisi complete sulla minaccia potete leggere a questo indirizzo.

Per ora comunque gli attacchi basati su OWOWA hanno riguardato i server in diversi paesi asiatici, ovverosia Malesia, Mongolia, Indonesia e Filippine, colpendo agenzie governative, con almeno una società di trasporti (anch’essa di proprietà statale). Tuttavia, gli esperti di sicurezza informatica di Kaspersky hanno ragione di credere che i criminali informatici siano interessati anche alle organizzazioni in Europa.

 

Ti potrebbe interessare