Un módulo malicioso en Internet Information Services (IIS) convierte la versión web de Outlook en una herramienta para robar credenciales y un panel de acceso remoto. Unos agentes desconocidos han utilizado el módulo, denominado OWOWA por nuestros investigadores, en ataques dirigidos.
Por qué la versión web de Outlook atrae a los atacantes
La versión web de Outlook (antes conocido como Exchange Web Connect, Outlook Web Access y Outlook Web App, o simplemente OWA) es una interfaz basada en Internet para acceder al servicio del Administrador de Información Personal de Microsoft. La aplicación se implementa en los servidores web que ejecutan IIS.
Muchas empresas lo utilizan para dar acceso remoto a los empleados a sus correos corporativos y a los calendarios sin tener que instalar un cliente para ello. Hay varios métodos para implementar Outlook en la web; uno de ellos requiere el uso de Exchange Server en el sitio, que es lo que atrae a los ciberdelincuentes. En teoría, obtener el control de esta aplicación concede acceso a toda la correspondencia corporativa, junto con oportunidades infinitas de expandir su ataque en la infraestructura y lanzar campañas BEC adicionales.
Cómo funciona OWOWA
OWOWA se carga en servidores web IIS comprometidos como un módulo para todas las aplicaciones compatibles; sin embargo, su propósito es interceptar las credenciales que se introducen en OWA. El malware revisa las solicitudes y respuestas en la página de inicio de sesión de la versión web de Outlook y, si detecta que un usuario ha introducido credenciales y recibido un token de autentificación en respuesta, escribe el nombre de usuario y contraseña en un archivo (en formato cifrado).
Además, OWOWA permite a los atacantes controlar su funcionalidad directamente mediante el mismo formato de autentificación. Al introducir ciertos comandos en los campos de nombre de usuario y contraseña, un atacante puede recuperar la información recopilada, eliminar el archivo de registro o ejecutar comandos arbitrarios en el servidor comprometido mediante PowerShell.
En esta publicación de Securelist encontrarás una descripción más detallada del módulo con sus indicadores de compromiso.
¿Quiénes están en el punto de mira de OWOWA?
Nuestros expertos han detectado ataques basados en OWOWA en servidores de varios países asiáticos: Malasia, Mongolia, Indonesia y Filipinas. Sin embargo, tenemos motivos para pensar que los ciberdelincuentes también están interesados en organizaciones europeas.
La mayoría de los objetivos han sido agencias gubernamentales, donde al menos una era una empresa de transporte (también propiedad del estado).
Cómo protegerte contra OWOWA
Puedes utilizar el comando appcmd.exe o la herramienta de configuración de IIS para detectar el módulo malicioso OWOWA (o cualquier otro módulo de IIS de terceros) en el servidor web IIS. Sin embargo, no olvides que, al igual que cualquier ordenador, todo servidor conectado a Internet necesita protección.