Noul malware PowerExchange permite accesul prin backdoor la serverele Microsoft Exchange
Un nou malware care are la bază PowerShell, denumit PowerExchange, a fost utilizat în atacuri pentru conectarea prin backdoor pe serverele Microsoft Exchange on-premise.
După infiltrarea în serverul de mail prin intermediul unui e-mail de phishing care conținea un executabil malițios arhivat, atacatorii au lansat un shell web numit ExchangeLeech care poate fura credențialele utilizatorilor.
Malware-ul comunică cu serverul de comandă și control (C2) prin intermediul e-mailurilor trimise folosind API-ul Exchange Web Services (EWS), exfiltrând date și informații și primind comenzi codificate base64 prin atașamente text la e-mailurile cu subiectul Update Microsoft Edge.
Backdoor-ul permite atacatorilor să execute comenzi pentru a livra payload-uri malițioase pe serverele infectate și pentru a exfiltra fișiere. ExchangeLeech colectează numele de utilizator și parolele celor care se loghează pe serverele Exchange compromise. Atacatorii pot configura shell-ul web să trimită capturile de credențiale prin intermediul cookie-urilor.
Sursă: https://www.bleepingcomputer.com/news/security/new-powerexchange-malware-backdoors-microsoft-exchange-servers/
