Un módulo malicioso de Internet Information Services (IIS) convierte a Outlook en la web en una herramienta para robar credenciales y un panel de acceso remoto. Agentes desconocidos han utilizado el módulo, denominado OWOWA por nuestros investigadores, en ataques dirigidos.
Por qué Outlook en la web atrae a los atacantes
Outlook en la web (antes conocido como Exchange Web Connect, Outlook Web Access, y Outlook Web App, o simplemente OWA) es una interfaz basada en Internet para acceder al servicio del Administrador de Información Personal de Microsoft. La aplicación se implementa en los servidores web que ejecutan IIS.
Muchas empresas lo utilizan para dar acceso remoto a los empleados a las casillas de correo corporativas y a los calendarios sin tener que instalar un cliente dedicado. Hay varios métodos de implementar Outlook en la web; uno de estos involucra utilizar Exchange Server en el sitio, que es lo que atrae a los cibercriminales. En teoría, obtener control de esta aplicación les da acceso a toda la correspondencia corporativa, junto con oportunidades infinitas para expandir su ataque en la infraestructura y lanzar campañas BEC adicionales.
Cómo funciona OWOWA
OWOWA se carga en servidores web IIS comprometidos como un módulo para todas las aplicaciones compatibles; sin embargo, su propósito es interceptar las credenciales que se ingresen en OWA. El malware revisa las solicitudes y respuestas en la página de inicio de sesión de Outlook en la web, y si detecta que un usuario ha ingresado credenciales y recibido un token de autenticación en respuesta, escribe el nombre de usuario y contraseña en un archivo (en formato cifrado).
Además, OWOWA permite que los atacantes controlen su funcionalidad directamente mediante el mismo formato de autenticación. Al ingresar ciertos comandos en los campos de nombre de usuario y contraseña, un atacante puede recuperar la información cosechada, eliminar el archivo de registro, o ejecutar comandos arbitrarios en el servidor comprometido mediante PowerShell.
En la publicación de Securelist puedes leer una descripción más detallada del módulo con indicadores de compromiso.
¿Quiénes son las víctimas de los ataques de OWOWA?
Nuestros expertos detectaron ataques basados en OWOWA en servidores en varios países asiáticos. Malasia, Mongolia, Indonesia y las Filipinas. Sin embargo, tenemos motivos para pensar que los cibercriminales también están interesados en organizaciones en Europa.
La mayoría de los objetivos fueron agencias gubernamentales, donde al menos una era una empresa de transporte (también propiedad del estado).
Cómo protegerte contra OWOWA
Puedes utilizar el comando appcmd.exe, o la herramienta normal de configuración de IIS, para detectar el módulo malicioso OWOWA (o cualquier otro módulo de IIS de terceros) en el servidor web IIS. Sin embargo, no olvides que servidor que esté conectado a Internet, como cualquier computadora, necesita protección.