{"id":23601,"date":"2021-12-15T12:38:20","date_gmt":"2021-12-15T18:38:20","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=23601"},"modified":"2022-05-05T09:47:59","modified_gmt":"2022-05-05T15:47:59","slug":"owowa-weaponizing-web-mail-outlook","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/owowa-weaponizing-web-mail-outlook\/23601\/","title":{"rendered":"OWOWA: m\u00f3dulo de IIS malicioso"},"content":{"rendered":"
Un m\u00f3dulo malicioso de Internet Information Services (IIS) convierte a Outlook en la web en una herramienta para robar credenciales y un panel de acceso remoto. Agentes desconocidos han utilizado el m\u00f3dulo, denominado OWOWA por nuestros investigadores, en ataques dirigidos.<\/p>\n
Por qu\u00e9 Outlook en la web atrae a los atacantes<\/h2>\n
Outlook en la web (antes conocido como Exchange Web Connect, Outlook Web Access, y Outlook Web App, o simplemente OWA) es una interfaz basada en Internet para acceder al servicio del Administrador de Informaci\u00f3n Personal de Microsoft. La aplicaci\u00f3n se implementa en los servidores web que ejecutan IIS.<\/p>\n
Muchas empresas lo utilizan para dar acceso remoto a los empleados a las casillas de correo corporativas y a los calendarios sin tener que instalar un cliente dedicado. Hay varios m\u00e9todos de implementar Outlook en la web; uno de estos involucra utilizar Exchange Server en el sitio, que es lo que atrae a los cibercriminales. En teor\u00eda, obtener control de esta aplicaci\u00f3n les da acceso a toda la correspondencia corporativa, junto con oportunidades infinitas para expandir su ataque en la infraestructura y lanzar campa\u00f1as BEC adicionales.<\/p>\n
C\u00f3mo funciona OWOWA<\/h2>\n
OWOWA se carga en servidores web IIS comprometidos como un m\u00f3dulo para todas las aplicaciones compatibles; sin embargo, su prop\u00f3sito es interceptar las credenciales que se ingresen en OWA. El malware<\/em> revisa las solicitudes y respuestas en la p\u00e1gina de inicio de sesi\u00f3n de Outlook en la web, y si detecta que un usuario ha ingresado credenciales y recibido un token de autenticaci\u00f3n en respuesta, escribe el nombre de usuario y contrase\u00f1a en un archivo (en formato cifrado).<\/p>\n
Adem\u00e1s, OWOWA permite que los atacantes controlen su funcionalidad directamente mediante el mismo formato de autenticaci\u00f3n. Al ingresar ciertos comandos en los campos de nombre de usuario y contrase\u00f1a, un atacante puede recuperar la informaci\u00f3n cosechada, eliminar el archivo de registro, o ejecutar comandos arbitrarios en el servidor comprometido mediante PowerShell.<\/p>\n