Um ator de ameaça desconhecido está explorando falhas conhecidas no Microsoft Exchange Server para implantar um malware keylogger em ataques direcionados a entidades na África e no Oriente Médio. De acordo com os pesquisadores, mais de 30 vítimas foram identificadas, incluindo agências governamentais, bancos, empresas de TI e instituições educacionais.

O primeiro comprometimento registrado ocorreu em 2021. A exploração bem-sucedida dessas vulnerabilidades pode permitir que um atacante ignore a autenticação, eleve seus privilégios e execute código remoto não autenticado. Após a exploração das falhas ProxyShell, os atores de ameaça adicionam o keylogger à página principal do servidor (“logon.aspx”), além de injetar código responsável por capturar credenciais em um arquivo acessível pela internet ao clicar no botão de login.

A Positive Technologies afirmou que, sem informações adicionais, não pode atribuir os ataques a um ator ou grupo de ameaça conhecido. Além de atualizar suas instâncias do Microsoft Exchange Server para a versão mais recente, as organizações são instadas a procurar sinais de comprometimento na página principal do Exchange Server, incluindo a função clkLgn() onde o keylogger é inserido. Se um servidor tiver sido comprometido, é importante identificar os dados de conta roubados e excluir o arquivo onde esses dados estão armazenados pelos atacantes.