Flaws Exploradas no MS Exchange Server para Implementar Keylogger em Ataques Direcionados – Virus Killer – Recuperação de Site Invadido por Vírus e Malware

Um agente desconhecido está explorando falhas de segurança conhecidas no Microsoft Exchange Server para implantar um malware keylogger em ataques direcionados a entidades na África e no Oriente Médio.

A empresa de cibersegurança russa Positive Technologies afirmou ter identificado mais de 30 vítimas, incluindo agências governamentais, bancos, empresas de TI e instituições de ensino. A primeira comprometimento remonta a 2021.

“Este keylogger estava coletando credenciais de conta em um arquivo acessível via um caminho especial na internet”, disse a empresa em um relatório publicado na semana passada.

Os países alvos do ataque incluem Rússia, Emirados Árabes Unidos, Kuwait, Omã, Níger, Nigéria, Etiópia, Maurício, Jordânia e Líbano.

As cadeias de ataque começam com a exploração das falhas do ProxyShell (CVE-2021-34473, CVE-2021-34523 e CVE-2021-31207) que foram originalmente corrigidas pela Microsoft em maio de 2021.

A exploração bem-sucedida das vulnerabilidades pode permitir que um atacante contorne a autenticação, eleve seus privilégios e execute código remoto não autenticado. A cadeia de exploração foi descoberta e publicada por Orange Tsai da equipe de pesquisa DEVCORE.

A exploração do ProxyShell é seguida pelos atores ameaçadores adicionando o keylogger à página principal do servidor (“logon.aspx”), além da injeção de código responsável por capturar as credenciais em um arquivo acessível na internet ao clicar no botão de login.

A Positive Technologies disse que não pode atribuir os ataques a um agente ou grupo de ameaças conhecidos neste momento sem informações adicionais.

Além de atualizar suas instâncias do Microsoft Exchange Server para a versão mais recente, as organizações são instadas a procurar possíveis sinais de comprometimento na página principal do Exchange Server, incluindo a função clkLgn() onde o keylogger é inserido.

“Se o seu servidor foi comprometido, identifique os dados da conta que foram roubados e exclua o arquivo onde esses dados são armazenados pelos hackers”, disse a empresa. “Você pode encontrar o caminho para este arquivo no arquivo logon.aspx.”

Você também pode gostar

Apple iMessage está recebendo criptografia pós-quântica

Os Dois Graduados do MIT Descobriram Uma Falha em uma Ferramenta de Negociação Comum para a Blockchain do Ethereum Isso Precede Problemas Futuros para Criptomoedas

A Importância De Tirar Um Tempo Para Si