Hackers invadem mais de 65 servidores Microsoft Exchange para roubo de credenciais
Pesquisadores da Positive Technologies detectaram uma campanha global na qual invasores comprometeram dezenas de servidores Exchange expostos à internet, injetando keyloggers em JavaScript diretamente nas páginas de login do Outlook Web Access (OWA). A ação foi observada em pelo menos 65 alvos em 26 países, configurando uma operação em larga escala.
Dois tipos de keyloggers em uso
O ataque utiliza dois métodos distintos de coleta de credenciais: um que armazena os dados capturados em arquivos hospedados no próprio servidor Exchange, acessíveis pela internet, e outro que envia as credenciais diretamente para servidores externos em tempo real .
Persistência da campanha desde 2021
A análise aponta que essa ofensiva não é recente: começou em maio de 2024 com foco em entidades na África e Oriente Médio, e tem registros de atividades desde 2021. O alvo inclui agências governamentais, bancos, empresas de TI e instituições de ensino.
Explorando vulnerabilidades conhecidas
Para obter acesso e inserir o keylogger, os invasores se aproveitam de falhas já documentadas no Exchange, como vulnerabilidades da família ProxyShell e ProxyLogon, além de brechas no IIS e no SMBv3, como CVE‑2014‑4078, CVE‑2020‑0796 e várias do ciclo de 2021.
Modo de operação do keylogger injetado
O código JavaScript malicioso captura os dados do formulário de login e os envia via XHR para uma página no próprio servidor comprometido, onde são salvos em um arquivo. Alternativamente, alguns variantes usam bots do Telegram ou túneis DNS para exfiltrar credenciais sem tráfego suspeito.
Setores e países mais atingidos
Entre os 65 servidores afetados, 22 pertencem a órgãos governamentais. Empresas de TI, logística e indústria também foram alvo. Os países com maior incidência incluem Vietnã, Rússia, Taiwan, China, Paquistão, Líbano, Austrália, Zâmbia, Países Baixos e Turquia.
Baixa chance de detecção e alto risco de vazamento
O método utilizado pelos invasores — especialmente quando os dados são armazenados localmente ou via canais corriqueiros como DNS — reduz drasticamente a chance de detecção. Os keyloggers também podem coletar cookies e cabeçalhos de requisição, aumentando o escopo do acesso extraído.
Medidas urgentes de proteção
Para conter o ataque, especialistas recomendam:
• Aplicar atualizações nos servidores Exchange imediatamente;
• Auditar o código fonte das páginas de login;
• Monitorar tráfego DNS e HTTPS em busca de exfiltrações atípicas;
• Restringir acesso ao OWA por IP ou VPN;
• Implementar MFA para dificultar uso de credenciais roubadas.
Conclusão
proteção multilayer é essencial
Essa campanha demonstra como servidores desatualizados continuam sendo um alvo fértil para ataques furtivos e eficazes. A proteção contra esse tipo de ameaça exige correções rápidas, monitoramento ativo e controle de acesso rigoroso. Somente uma abordagem de defesa em múltiplas camadas pode garantir segurança efetiva no ambiente Exchange exposto.
Fonte e imagens: https://thehackernews.com/2025/06/hackers-target-65-microsoft-exchange.html
