Se ha observado que actores de amenazas no identificados atacan servidores Microsoft Exchange expuestos públicamente para inyectar código malicioso en las páginas de inicio de sesión que recopilan sus credenciales.

Positive Technologies, en un nuevo análisis publicado la semana pasada, dijo que identificó dos tipos diferentes de código keylogger escrito en JavaScript en la página de inicio de sesión de Outlook:

• Aquellos que guardan los datos recopilados en un archivo local accesible a través de Internet

• Aquellos que envían inmediatamente los datos recopilados a un servidor externo

El proveedor ruso de ciberseguridad dijo que los ataques tuvieron como objetivo a 65 víctimas en 26 países de todo el mundo y marcan la continuación de una campaña que se documentó por primera vez en mayo de 2024 como dirigida a entidades en África y Oriente Medio.

En ese momento, la compañía dijo que había detectado no menos de 30 víctimas que abarcaban agencias gubernamentales, bancos, empresas de TI e instituciones educativas, y que la evidencia del primer compromiso se remonta a 2021.

Las cadenas de ataque implican la explotación de vulnerabilidades conocidas en Microsoft Exchange Server (p. ej., ProxyShell) para insertar código keylogger en la página de inicio de sesión. Actualmente se desconoce quién está detrás de estos ataques.

A continuación se enumeran algunas de las vulnerabilidades utilizadas como arma:

• CVE-2014-4078: Vulnerabilidad de omisión de funciones de seguridad de IIS

• CVE-2020-0796 - Vulnerabilidad de ejecución remota de código en el entorno cliente/servidor SMBv3 de Windows

• CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 y CVE-2021-27065: vulnerabilidad de ejecución remota de código en Microsoft Exchange Server (ProxyLogon)

• CVE-2021-31206: Vulnerabilidad de ejecución remota de código en Microsoft Exchange Server

• CVE-2021-31207, CVE-2021-34473, CVE-2021-34523: Vulnerabilidad de omisión de funciones de seguridad de Microsoft Exchange Server (ProxyShell)

"El código JavaScript malicioso lee y procesa los datos del formulario de autenticación y luego los envía a través de una solicitud XHR a una página específica en el servidor Exchange comprometido", dijeron los investigadores de seguridad Klimentiy Galkin y Maxim Suslov.

"El código fuente de la página de destino contiene una función de controlador que lee la solicitud entrante y escribe los datos en un archivo en el servidor".

El archivo que contiene los datos robados es accesible desde una red externa. Se ha descubierto que algunas variantes con capacidad de registro de teclas local también recopilan cookies de usuario, cadenas de agente de usuario y la marca de tiempo.

Una ventaja de este enfoque es que las posibilidades de detección son prácticamente nulas, ya que no hay tráfico saliente para transmitir la información.

La segunda variante detectada por Positive Technologies, por otro lado, utiliza un bot de Telegram como punto de exfiltración a través de solicitudes XHR GET con el nombre de usuario y la contraseña codificados y almacenados en los encabezados APIKey y AuthToken, respectivamente.

Un segundo método implica utilizar un túnel del Sistema de nombres de dominio (DNS) junto con una solicitud POST HTTPS para enviar las credenciales del usuario y eludir las defensas de una organización.

Veintidós de los servidores comprometidos se encontraron en organizaciones gubernamentales, seguidos por infecciones en empresas de TI, industriales y logísticas. Vietnam, Rusia, Taiwán, China, Pakistán, Líbano, Australia, Zambia, Países Bajos y Turquía se encuentran entre los 10 principales objetivos.

"Un gran número de servidores Microsoft Exchange accesibles desde Internet siguen siendo vulnerables a vulnerabilidades antiguas", afirmaron los investigadores. "Al incrustar código malicioso en páginas de autenticación legítimas, los atacantes pueden pasar desapercibidos durante largos periodos mientras capturan las credenciales de los usuarios en texto plano".

Fuente: https://thehackernews.com/2025/06/hackers-target-65-microsoft-exchange.html