Вредоносный DLL-файл позволил украсть данные пользователей Outlook Web Access, сообщает The Register.

Открытие сделали исследователи из Cybereason. По их словам, злоумышленники смогли взломать компьютерную систему одной американской компании и получить на несколько месяцев доступ к учетным записям каждого сотрудника. Эксперты обнаружили свыше 11 тыс. скомпрометированных аутентификационных данных — связки «логин — пароль».

Взломать защищенную инфраструктуру киберпреступники смогли с помощью DLL-файла, который был загружен на сервер Microsoft Outlook Web App (OWA). Клиент используется для удаленного доступа к Outlook. Таким образом злоумышленники украли пароли пользователей, подключенных к OWA. Поскольку это были все сотрудники, то атакующие получили постоянный контроль над всей внутренней сетью организации. Как отмечают исследователи, заражены были 19 тыс. конечных устройств.

Кроме того, киберпреступники установили вредоносный файл owaauth.dll на сервер для фильтрации HTTP-запросов ISAPI, в результате чего хакеры перехватывали все запросы в незашифрованном виде.

Добавим, что, согласно недавнему исследованию, в первую очередь взломщиков корпоративных систем интересуют документы Microsoft Office. К такому выводу пришли эксперты из Intel, изучив инциденты в 1155 организациях по всему миру. Похитители нацелены на файлы Microsoft Office (Word, PowerPoint, Excel). На них приходится 21% внешних инцидентов и 39% — внутренних. Затем по популярности у киберпреступников идут файлы CSV (21 и 20%), PDF (20 и 11%), изображения, аудио- и видеофайлы (18 и 11%) и XML (19 и 12%).

По сведениям экспертов Intel, почти две трети утечек происходят через традиционные корпоративные сети. Оставшиеся данные похищаются через «облако». Отметим, что еще одно исследование определило: компании, работающие в сфере здравоохранения, в три раза чаще сталкиваются с кражей данных, чем другие предприятия.

Категории: Вредоносные программы, Уязвимости