Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Вредоносный JavaScript атакует Outlook

2
1 мин
Неустановленные киберпреступники начали активную кампанию по компрометации серверов Microsoft Exchange, распространяя вредоносные скрипты на страницах входа в Outlook. По данным нового отчёта компании Positive Technologies, на более чем 70 серверах был обнаружен вредоносный JavaScript, предназначенный для кражи логинов и паролей. Аналитики выявили два типа вредоносных сценариев. Первый сохраняет полученную информацию в файле, доступном через интернет, второй немедленно пересылает данные на удалённый сервер. Исследователи подчёркивают, что оба метода обеспечивают скрытность и затрудняют оперативное обнаружение. По оценке Positive Technologies, в число пострадавших попали 65 пользователей из 26 стран. Наиболее активно атаки велись в Африке и на Ближнем Востоке, где ранее, в мае 2024 года, уже фиксировалась активность аналогичной схемы. Ещё тогда компания установила, что целью хакеров стали государственные учреждения, банки, IT-компании и образовательные структуры, а первые признаки компр
Изображение: Clint Patterson (unsplash)
Изображение: Clint Patterson (unsplash)

Неустановленные киберпреступники начали активную кампанию по компрометации серверов Microsoft Exchange, распространяя вредоносные скрипты на страницах входа в Outlook. По данным нового отчёта компании Positive Technologies, на более чем 70 серверах был обнаружен вредоносный JavaScript, предназначенный для кражи логинов и паролей.

Аналитики выявили два типа вредоносных сценариев. Первый сохраняет полученную информацию в файле, доступном через интернет, второй немедленно пересылает данные на удалённый сервер. Исследователи подчёркивают, что оба метода обеспечивают скрытность и затрудняют оперативное обнаружение.

По оценке Positive Technologies, в число пострадавших попали 65 пользователей из 26 стран. Наиболее активно атаки велись в Африке и на Ближнем Востоке, где ранее, в мае 2024 года, уже фиксировалась активность аналогичной схемы. Ещё тогда компания установила, что целью хакеров стали государственные учреждения, банки, IT-компании и образовательные структуры, а первые признаки компрометации датируются 2021 годом.

Механизм атак основывается на использовании уязвимостей в Microsoft Exchange Server — таких, как ProxyLogon и ProxyShell. Вредоносный код внедряется через известные дыры в безопасности, включая:

  • CVE-2014-4078 — обход систем защиты IIS;
  • CVE-2020-0796 — выполнение произвольного кода через SMBv3;
  • CVE-2021-26855, -26857, -26858, -27065 — цепочка ProxyLogon;
  • CVE-2021-31206, -31207, -34473, -34523 — обходы и RCE в ProxyShell.

Исследователи безопасности Климентий Галкин и Максим Суслов пояснили, что вредоносный JavaScript незаметно встраивается в форму аутентификации Outlook. При вводе данных скрипт перехватывает их и через XHR-запрос отправляет на заранее подготовленный адрес на скомпрометированном сервере. Такая схема позволяет незаметно похищать данные и обеспечивает устойчивость атак.

Оригинал публикации на сайте CISOCLUB: "Хакеры внедряют кейлоггеры в Microsoft Exchange, атакуя более 70 серверов с целью кражи учётных данных".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Гаджеты и электроника
5,73 млн интересуются