Positive Technologies выявила неизвестного автора кейлоггер на главной странице Microsoft Exchange Server, который позволял хакерам нападать российских разработчиков ПО. Хакеры добавляли вредоносный код в функцию clkLgn и перехватывали в открытом виде логины и пароли, вводимые пользователями при авторизации в Outlook Web Access, сообщает пресс-служба компании.
По информации компании Positive Technologies, который раз 2025 года девять российских компаний, в том числе четыре разработчика ПО, стали жертвами хакеров на входах компрометации почтового клиента Outlook. Злоумышленники, внедрив вредоносный код в легитимные страницы аутентификации, долгое время оставались незамеченными и получали учетные данные пользователей.
В частности, в начале мая 2024 года профессионалы команды Incident Response экспертного центра безопасности Positive Technologies выявили атаку с применением безызвестного кейлоггера, внедренного на главную страницу Microsoft Exchange Server. Как правило, хакеры добавляли вредоносный код в функцию clkLgn (обработчик кнопки входа) и перехватывали в открытом виде логины и пароли, вводимые пользователями при авторизации в Outlook Web Access.
Всего командой знатоков было выявлено около 65 жертв в 26 странах. Больше всего зараженных серверов - в России, Вьетнаме и Тайване. Чаще иных атакам подвергались государственные учреждения, а также компании в области ИТ, промышленности и логистики.
Ровно по экспертов, для встраивания вредоноса преступники эксплуатировали старые бреши в серверах Microsoft Exchange, доступных из интернета. Все же, как повелевает компания, но далеко не все скомпрометированные серверы были подвержены каким-либо публично знаменитым уязвимостям. На глазок, они бы были взломаны на входах реализации иных векторов атак.
Фото: Шедеврум.