Hacker đánh cắp thông tin đăng nhập Microsoft Exchange bằng module máy chủ web IIS

Các hacker đã phát triển một module cho máy chủ web server IIS có tên là "Owowa". Module độc hại này được cài đặt trên máy chủ Microsoft Exchange Outlook Web Access nhằm đánh cắp thông tin đăng nhập người dùng, và cho phép hacker thực thi lệnh từ xa để kiểm soát máy chủ.

Owawa sử dụng nền tảng .NET 4.0 và được viết bằng ngôn ngữ C#. Module này được các hacker thiết kế để đánh cắp tài khoản của người dùng khi họ đăng nhập qua Exchange's Outlook Web Access (OWA).

Khi người dùng đăng nhập thành công, module Owawa sẽ gửi thông tin đăng nhập đến hacker.

Công ty bảo mật ở Nga cho biết thêm đã phát hiện các module Owawa độc hại này ở các máy chủ email Microsoft Exchange đặt ở Malaysia, Mông Cổ, Indonesia, Philipines và các nước khác ở Châu Âu. Các máy chủ bị tấn công này hầu hết thuộc về các tổ chức chính phủ.

Rascagneres và Delcher - các nhà nghiên cứu của Kaspersky cho biết: “Các module máy chủ web IIS không phải là một định dạng backdoor phổ biến, và có thể bị bỏ qua bởi các trình antivirus. Vì vậy, đây là một lựa phương thức tốt để các hacker tấn công các máy chủ Microsoft Exchange."

Chia sẻ bài viết này