Recientemente se ha detectado una nueva ola de ataques dirigidos a servidores de Microsoft Exchange que están expuestos públicamente en internet. Los atacantes, cuya identidad aún se desconoce, están inyectando código malicioso directamente en las páginas de inicio de sesión de Outlook para robar credenciales de acceso.
En concreto, se han identificado dos tipos de keyloggers escritos en JavaScript que se integran en esas páginas:
-
Uno que guarda la información capturada en un archivo que queda accesible desde internet.
-
Otro que envía los datos robados directamente a un servidor controlado por los atacantes.
Hasta ahora, se sabe que al menos 65 organizaciones en 26 países han sido víctimas de este ataque, que parece ser una continuación de una campaña que ya se había detectado en mayo de 2024, principalmente dirigida a entidades en África y Oriente Medio.
En aquella ocasión, se identificaron unas 30 víctimas, entre las que había agencias gubernamentales, bancos, empresas tecnológicas e instituciones educativas. Lo más preocupante es que hay indicios de que los primeros accesos no autorizados podrían haberse producido desde 2021.
El método de ataque no es nuevo, pero sigue siendo muy efectivo. Los atacantes aprovechan vulnerabilidades ya conocidas en Microsoft Exchange Server, como las incluidas en los conjuntos de fallos ProxyShell y ProxyLogon, para insertar el código malicioso justo en la página de login.
Entre las vulnerabilidades que están explotando se encuentran:
-
CVE-2014-4078 – Falla en IIS que permite omitir funciones de seguridad.
-
CVE-2020-0796 – Falla crítica en SMBv3 que permite ejecución remota de código.
-
CVE-2021-26855, 26857, 26858, 27065 – Vulnerabilidades de ejecución remota relacionadas con ProxyLogon.
-
CVE-2021-31206, 31207, 34473, 34523 – Fallos vinculados a ProxyShell que también permiten ejecutar código de forma remota o eludir medidas de seguridad.
Una vez que el código malicioso está dentro, este lee y procesa los datos que los usuarios introducen en el formulario de inicio de sesión, y luego los envía mediante una solicitud web (XHR) a una página específica alojada en el propio servidor comprometido.
Aunque aún no se sabe quién está detrás de estos ataques, lo que sí está claro es que están bien organizados, tienen un alcance global y están sacando provecho de servidores que no han sido debidamente actualizados o protegidos. Es un recordatorio más de la importancia de mantener los sistemas al día, cerrar servicios expuestos innecesariamente y revisar regularmente la seguridad de las aplicaciones críticas como Microsoft Exchange.
El código fuente incluye una función que recibe la solicitud y guarda los datos en un archivo del servidor.
Podría interesarte leer: Guía Completa para el Hardening de Sistemas
Métodos de robo de credenciales en Servidores Exchange
El archivo donde se guardan los datos robados está disponible desde internet, lo que significa que cualquiera que sepa dónde buscar, puede acceder a él sin mucha dificultad. Pero eso no es todo: algunas variantes de este malware que registra lo que escribes en el teclado (keyloggers locales) también recogen otras cosas como cookies de sesión, el navegador que usas (user-agent) y hasta la hora exacta en que iniciaste sesión.
Una de las razones por las que este método es tan efectivo es porque no genera tráfico de salida; toda la información robada se guarda de forma local en el servidor infectado. Eso hace que sea muchísimo más difícil de detectar, porque no hay señales evidentes de que algo esté saliendo hacia afuera.
Ahora bien, hay una segunda variante que sí se comunica hacia el exterior. En este caso, los atacantes están usando un bot de Telegram para llevarse los datos robados. ¿Cómo? A través de solicitudes tipo GET que envían el nombre de usuario y la contraseña codificados en los encabezados llamados APIKey y AuthToken. Básicamente, es como si usaran Telegram como su propio canal secreto para recibir credenciales robadas.
Conoce más sobre: Los 10 Mejores Grupos y Canales de Chat de Telegram en la Dark Web
También se ha identificado otro método más avanzado, que usa un túnel a través del sistema de nombres de dominio (DNS tunneling) junto con una solicitud HTTPS POST para exfiltrar (es decir, enviar) las credenciales, evitando así que los sistemas de seguridad lo detecten fácilmente.
De todos los servidores comprometidos, al menos 22 pertenecen a organismos gubernamentales. Pero los ataques no se detienen ahí. También han afectado a empresas tecnológicas, industriales y de logística. Entre los países más golpeados están Vietnam, Rusia, Taiwán, China, Pakistán, Líbano, Australia, Zambia, Países Bajos y Turquía.
Los investigadores advierten que todavía hay muchos servidores Microsoft Exchange accesibles desde internet que no han sido parcheados, lo que los deja expuestos a estas amenazas. El truco de los atacantes consiste en insertar código malicioso en páginas de inicio de sesión completamente legítimas, lo que les permite capturar usuarios y contraseñas en texto plano (sin cifrar), y además mantenerse ocultos durante semanas o incluso meses.