Especialistas em cibersegurança da Kaspersky descobriram um novo malware direcionado aos servidores Microsoft Exchange de várias organizações em todo o mundo. Apelidada de “SessionManager” e detectada pela primeira vez pela empresa no início do ano, a backdoor permite que os operadores da ameaça mantenham “acesso persistente, resistente a atualizações e bastante furtivo à infraestrutura de TI das organizações-alvo”.
De acordo com a Kaspersky, uma vez propagado, o SessionManager permite uma ampla gama de atividades maliciosas, desde a coleta de e-mails até o controle total sobre a infraestrutura da vítima.
As análises dos pesquisadores de segurança sugerem que os operadores da ameaça por trás do SessionManager começaram a operar no final de março de 2021. A Kaspersky diz que o malware teria atingido 34 servidores de 24 organizações na África, Sul da Ásia, Europa e Oriente Médio, com a maioria deles ainda comprometidos até o momento.
“Os operadores do SessionManager mostra um interesse especial em ONGs e entidades governamentais, mas instituições de saúde, empresas de petróleo e de transporte, entre outras, também foram alvos”.
A Kaspersky também alerta que uma característica distintiva do SessionManager é sua baixa taxa de detecção por software antivírus. “Descobertas pela primeira vez por pesquisadores da empresa no início do ano, algumas das amostras de backdoor ainda não foram sinalizadas como maliciosas nos serviços de verificação de arquivos online mais populares”, escreveu a empresa em um comunicado na quinta-feira, 30.
Veja isso
Servidores Exchange hackeados para implantar o BlackCat
Hackers usam módulo IIS para roubar credenciais do Exchange
Até o momento, o SessionManager está implantado em mais de 90% das organizações-alvo, de acordo com uma verificação da internet realizada por pesquisadores da Kaspersky.
Em termos de atribuição, os especialistas em segurança disseram que encontraram semelhanças entre SessionManager e o Owowa, um módulo do Serviços de Informações da Internet (IIS) anteriormente desconhecido que roubava credenciais inseridas por um usuário ao fazer login no Outlook Web Access (OWA).
“Ficou claro que a implantação de uma backdoor no IIS é uma tendência entre os operadores de ameaças, que anteriormente exploravam uma das vulnerabilidades do tipo ‘ProxyLogon’ nos servidores do Microsoft Exchange”, escreveu Kaspersky.
Devido a essas semelhanças e ao uso da variante comum “OwlProxy”, a Kaspersky concluiu seu aviso alegando que o módulo malicioso do IIS pode ter sido aproveitado pelos operadores da ameaça Gelsemium.
