Negli ultimi tempi, una nuova ondata di attacchi informatici ha preso di mira oltre 70 server Microsoft Exchange esposti pubblicamente, sfruttando vulnerabilità note e inserendo codici keylogger direttamente nelle pagine di accesso di Outlook. Questi attacchi, rilevati a livello globale e distribuiti in 26 paesi, permettono ai criminali informatici di intercettare le credenziali degli utenti in modo altamente furtivo, rappresentando una seria minaccia per la sicurezza di enti governativi, banche, aziende IT e istituzioni educative.

Varietà di keylogger e modalità operative

Secondo un recente rapporto di Positive Technologies, sono state identificate due varianti di keylogger basate su JavaScript. Una salva i dati raccolti in un file locale, accessibile dall'esterno tramite internet, l'altra invia immediatamente le credenziali intercettate a un server remoto controllato dagli attaccanti. In entrambi i casi, il codice malevolo si integra nella pagina di login di Outlook, permettendo la raccolta di username, password, cookie, stringhe User-Agent e timestamp senza destare sospetti, grazie all’assenza di traffico in uscita anomalo.

Vulnerabilità sfruttate e dinamiche dell’attacco

Gli attaccanti sfruttano vulnerabilità già note di Microsoft Exchange Server, tra cui ProxyShell e ProxyLogon (CVE-2021-26855, CVE-2021-34473, tra le altre), così come bug più datati come CVE-2014-4078 e CVE-2020-0796. La catena di attacco avviene dunque tramite l’exploit di queste falle, seguita dall’impianto del keylogger nella pagina di autenticazione. Gli attacchi sono in corso già dal 2021 e continuano a colpire organizzazioni che non hanno ancora applicato le patch di sicurezza, lasciando i loro sistemi esposti e vulnerabili.

Tecniche di esfiltrazione e paesi colpiti

Alcuni keylogger trasferiscono i dati rubati attraverso bot Telegram, inviando le credenziali tramite richieste XHR, mentre altri utilizzano tecniche più sofisticate come il DNS tunneling combinato con HTTPS POST per eludere i sistemi di difesa aziendali. Analisi recenti hanno evidenziato che 22 server compromessi appartengono a organizzazioni governative, mentre altri coinvolgono aziende dei settori IT, industriale e logistico. Tra i paesi più colpiti figurano Vietnam, Russia, Taiwan, Cina, Pakistan, Libano, Australia, Zambia, Olanda e Turchia.

Implicazioni e raccomandazioni

Questa campagna sottolinea la pericolosità di lasciare esposti i server Exchange con vulnerabilità note, in quanto permette agli aggressori di infiltrarsi e restare nascosti per lunghi periodi, intercettando credenziali in chiaro e potenzialmente accedendo a dati sensibili senza essere rilevati. È fondamentale per tutte le organizzazioni aggiornare costantemente i loro sistemi e monitorare con attenzione le pagine di autenticazione per individuare eventuali compromissioni.