Se ha detectado que los hackers están implementando un módulo denominado «Owawa» en el servidor web de Microsoft Internet Information Services (IIS), con el objetivo de robar las credenciales y permitir la ejecución remota de comandos en Microsoft Exchange Outlook Web Access.
Owawa ha sido desarrollado con el objetivo de capturar las credenciales de los usuarios que inician sesión con éxito en la página web de autenticación de Outlook Web Access (OWA). La explotación de este malware se consigue enviado solicitudes de autenticación a los servicios web, usando los campos nombre de usuario y contraseña de la página de autenticación de OWA.
Si el nombre de usuario de la página de autenticación de Outlook Web Access es «jFuLIXpzRdateYHoVwMlfc» el malware responde con las credenciales encriptadas. Si el nombre de usuario es «dEUM3jZXaDiob8BrqSy2PQO1«, se ejecuta un comando de PowerShell que envia datos al atacante.
Owowa es un ensamblado .NET v4.0 desarrollado en C# que está destinado a ser cargado como un módulo dentro de un servidor web IIS que también expone Outlook Web Access (OWA) de Exchange. Cuando se carga de esta manera, Owowa robará las credenciales que ingrese cualquier usuario en la página de inicio de sesión de OWA y permitirá que un operador remoto ejecute comandos en el servidor subyacente.
Extracto del informe de los investigadores Paul Rascagneres y Pierre Delcher.
Según informes publicados por investigadores de seguridad de Kapersky, se han detectado este tipo de ataques en algunas empresas de Europa aunque la mayoría se encuentran localizadas en Malasia, Mongolia, Indonesia y Filipinas.
Utilizar un módulo del servidor Microsoft IIS como malware no es un método habitual y fácilmente puede pasar desapercibido en los controles rutinarios de seguridad. No se descarta que esta práctica aumente en los próximos meses en función de los resultados que los hackers obtengan.
