Licenze multi-dispositivo (sconti per quantità)
Threat Database Malware Owowa Malware

Owowa Malware

Entro Favila nel Malware
Traduci in:
Italiano

Owowa è uno strumento potenzialmente pericoloso per i server Microsoft Exchange. È stato identificato nel 2020, mentre i ricercatori hanno analizzato un file binario precedentemente sconosciuto, che si è rivelato essere un modulo IIS. Il programma dannoso è stato sviluppato in C# e, a quanto pare, ha lo scopo di raccogliere credenziali e abilitare comandi remoti. Pertanto, questa nuova minaccia malware sembra un'opzione efficace per gli aggressori per ottenere un forte punto d'appoggio nelle reti mirate garantendo la persistenza all'interno di un server Exchange.

Finora, in Asia sono stati identificati diversi server compromessi. Mentre la maggior parte di loro appartiene a organizzazioni governative, ce n'è una che appartiene a una società di trasporti di proprietà del governo.

Owowa è concepito per essere caricato come modulo all'interno di un server IIS, poiché l'unico codice rilevante si trova nella classe ExtenderControlDesigner, che implementa un'interfaccia specifica di IIS. In particolare, Owowa è progettato per ispezionare le richieste e le risposte HTTP agganciando un particolare evento generato quando un'applicazione Web IIS invia contenuto al client. Pertanto, l'obiettivo di Owowa è raccogliere le credenziali degli utenti che si sono autenticati correttamente sulla pagina Web di OWA.

Il campione più recente trovato è stato rilevato nell'aprile 2021. Tuttavia, i ricercatori ritengono che il modulo sia stato assemblato diversi mesi prima. Il modulo danneggiato contiene un assembly aggiuntivo vuoto e inutilizzato e una classe AssemblyLoader da uno spazio dei nomi Costura.

I ricercatori non hanno ancora identificato alcun collegamento tra Owowa e altri noti attori di minacce, perché i dati disponibili sull'implementazione e sul funzionamento del malware sono ancora troppo scarsi. Tuttavia, gli sviluppatori del modulo non hanno rimosso i percorsi PDB in alcuni dei campioni analizzati. Il nome utente specifico "S3crt" trovato nei percorsi suggerisce che potrebbe esserci un collegamento agli strumenti offensivi Cobalt Strike e Core Impact.

Tendenza

I più visti

Caricamento in corso...