Software malicioso de Owowa

Owowa es una herramienta potencialmente insegura dirigida a los servidores de Microsoft Exchange. Fue identificado en 2020, mientras los investigadores analizaban un archivo binario previamente desconocido, que resultó ser un módulo IIS. El programa dañino se ha desarrollado en C # y, aparentemente, está destinado a recopilar credenciales y habilitar comandos remotos. Por lo tanto, esta nueva amenaza de malware parece una opción eficaz para que los atacantes se afiancen firmemente en las redes objetivo al garantizar la persistencia dentro de un servidor Exchange.

Hasta ahora, se han identificado varios servidores comprometidos en Asia. Si bien la mayoría de ellos pertenecen a organizaciones gubernamentales, hay una que pertenece a una empresa de transporte propiedad del gobierno.

Owowa está diseñado para cargarse como un módulo dentro de un servidor IIS, ya que el único código relevante se encuentra en la clase ExtenderControlDesigner, que implementa una interfaz específica de IIS. Específicamente, Owowa está diseñado para inspeccionar solicitudes y respuestas HTTP conectando un evento particular que se genera cuando una aplicación web IIS envía contenido al cliente. Por lo tanto, el objetivo de Owowa es recopilar las credenciales de los usuarios que se autenticaron con éxito en la página web de OWA.

La muestra más reciente encontrada se detectó en abril de 2021. Sin embargo, los investigadores creen que el módulo se ensambló varios meses antes. El módulo dañado contiene un ensamblado adicional que está vacío y sin usar y una clase AssemblyLoader de un espacio de nombres de Costura.

Los investigadores aún no han identificado ningún vínculo entre Owowa y otros actores de amenazas conocidos, porque los datos disponibles sobre la implementación y operación del malware aún son demasiado escasos. Sin embargo, los desarrolladores del módulo no han eliminado las rutas PDB en algunas de las muestras analizadas. El nombre de usuario específico "S3crt" que se encuentra en las rutas sugiere que podría haber un vínculo a las herramientas ofensivas Cobalt Strike y Core Impact.