Owowa Malware

O Owowa é uma ferramenta potencialmente insegura, voltada para os servidores do Microsoft Exchange. Ele foi identificado em 2020, enquanto os pesquisadores analisavam um arquivo binário até então desconhecido, que acabou por ser um módulo IIS. O programa nocivo foi desenvolvido em C# e, aparentemente, visa coletar credenciais e habilitar comandos remotos. Portanto, essa nova ameaça de malware parece uma opção eficaz para os invasores ganharem uma posição forte nas redes direcionadas, garantindo a persistência em um servidor Exchange.

Até agora, vários servidores comprometidos foram identificados na Ásia. Embora a maioria deles pertença a organizações governamentais, existe uma que pertence a uma empresa de transporte estatal.

O Owowa deve ser carregado como um módulo dentro de um servidor IIS, já que o único código relevante está localizado na classe ExtenderControlDesigner, que implementa uma interface específica do IIS. Especificamente, Owowa foi projetado para inspecionar solicitações e respostas HTTP, conectando um determinado evento gerado quando um aplicativo da Web IIS envia conteúdo ao cliente. Portanto, o objetivo do Owowa é coletar as credenciais dos usuários que se autenticaram com êxito na página da Web do OWA.

A amostra mais recente encontrada foi detectada em abril de 2021. No entanto, os pesquisadores acreditam que o módulo foi montado vários meses antes disso. O módulo corrompido contém um assembly adicional que está vazio e não usado e uma classe AssemblyLoader de um namespace Costura.

Os pesquisadores ainda não identificaram nenhum vínculo entre o Owowa e qualquer outro agente de ameaça conhecido, porque os dados disponíveis sobre a implantação e operação do malware ainda são muito escassos. Ainda assim, os desenvolvedores do módulo não removeram os caminhos do PDB em algumas das amostras analisadas. O nome de usuário específico “S3crt” encontrado nos caminhos sugere que pode haver um link para as ferramentas ofensivas Cobalt Strike e Core Impact.