Phát hiện Outlook bị tấn công cài mã độc đánh cắp mật khẩu email

Công ty bảo mật Cybereason vừa phát hiện ra một chiến dịch tấn công để cửa ngõ backdoor nguy hiểm trong ứng dụng Outlook nền web của Microsoft. Cuộc tấn công này cho phép tin tặc có thể đánh cắp mật khẩu email của các tổ chức, doanh nghiệp lớn.

Giao diện máy chủ webmail của các công ty và tổ chức Microsoft Outlook Web Application (OWA) được xây dựng để trao đổi email nội bộ trong tổ chức. Một chiến dịch tấn công của tin tặc đã tải một tập tin DLL đáng ngờ vào máy chủ OWA thông qua các truy cập HTTPS. Mặc dù tập tin này cùng tên với tập tin DLL khác trên hệ thống nhưng nó lại không có chứng chỉ bảo mật và tải vào chỉ mục khác tập tin gốc.

Theo nghiên cứu cho thấy, tin tặc đã thay thế OWAAUTH.dll (sử dụng trong cơ chế xác thực) với một backdoor (cửa hậu) nguy hiểm. Sau khi chạy trên máy chủ OWA, tập tin DLL backdoor sẽ cho phép tin tặc thu thập tất cả các truy cập HTTPS máy chủ, bao gồm thông tin đăng nhập sau khi chúng được giải mã.

Một người dùng cho biết đã bị đánh cắp tên tài khoản và mật khẩu email khi truy cập vào máy chủ (bị xâm nhập trước đó). Có hơn 11.000 dữ liệu đang nhập chứa trong tập tin log.txt trên phân vùng C:\ của máy chủ. Đây được biết là nơi tin tặc sử dụng để lưu trữ những dữ liệu đánh cắp được. Tinh vi hơn, để mã độc backdoor không bị phát hiện và bị gỡ bỏ, tin tặc đã tạo ra một IIS  (Web server của Microsoft), thông qua nó tải tập tin OWAAUTH.dll độc hại mỗi khi máy chủ khởi động lại. Tin tặc tấn công có chủ đích (APT) còn sử dụng .NET assembly cache nhằm tránh bị kiểm duyệt bảo mật.

Xuân Dung

Theo CNET