Aggiornamenti recenti Giugno 24th, 2025 3:50 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Attacchi silenziosi ai server Exchange: keylogger in JavaScript rubano credenziali dalle pagine di login
- Prompt injection indiretta, Google migliora la sua strategia di sicurezza a più livelli per l’IA
- Cybercriminali russi aggirano l’MFA di Gmail con una campagna di phishing sofisticata
- Anche Viasat vittima del cyberspionaggio di Salt Typhoon
- Asana: un bug nell’integrazione AI esponeva i dati aziendali
Attacchi silenziosi ai server Exchange: keylogger in JavaScript rubano credenziali dalle pagine di login
Una nuova campagna mirata ai server Microsoft Exchange esposti su Internet sta sfruttando vulnerabilità note per iniettare codice malevolo direttamente nelle pagine di autenticazione, trasformandole in strumenti di raccolta credenziali. A scoprirlo è stata Positive Technologies, che ha rilevato almeno 65 compromissioni in 26 Paesi, colpendo in particolare enti governativi, istituti finanziari e aziende del settore IT.
Secondo il report, gli attacchi rappresentano la continuazione di una campagna già osservata nel 2024 in Africa e Medio Oriente, che aveva già coinvolto una trentina di vittime con compromissioni risalenti almeno al 2021. Il codice malevolo viene iniettato nella pagina di login di Outlook Web Access, trasformando il portale in un keylogger invisibile per l’utente.
Due varianti, stesso obiettivo
Gli attacchi si basano sull’iniezione di JavaScript personalizzato in grado di intercettare le credenziali di accesso. Positive Technologies ha individuato due varianti principali del keylogger: la prima salva i dati in file locali sul server compromesso, accessibili via Internet, mentre la seconda li trasmette immediatamente verso l’esterno, utilizzando meccanismi di esfiltrazione più avanzati.
Nel primo caso, il codice legge i dati inseriti nel form di autenticazione e li invia a una pagina interna del server, che li scrive in un file raggiungibile da remoto. Questo file, oltre a contenere username e password, può includere cookie di sessione, stringhe User-Agent e timestamp delle sessioni. Il vantaggio? L’assenza di traffico uscente verso Internet, che riduce drasticamente la probabilità di intercettazione da parte dei sistemi di sicurezza.
Esfiltrazione via Telegram e tunnel DNS
La seconda variante si spinge oltre, utilizzando canali di esfiltrazione più complessi. In alcuni casi, le credenziali vengono inviate tramite richieste XHR GET a un bot Telegram, usando intestazioni HTTP modificate per trasportare dati sensibili come login e password. In altri scenari, gli attaccanti impiegano un tunnel DNS combinato con richieste HTTPS POST, progettato per eludere i sistemi di rilevamento delle organizzazioni più strutturate.
Un attacco che sfrutta vecchie falle
Per iniettare il codice nella pagina di login, gli attaccanti sfruttano un insieme di vulnerabilità già note e ampiamente documentate negli anni passati. Tra queste figurano:
CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065 (ProxyLogon)
CVE-2021-31207, CVE-2021-34473, CVE-2021-34523 (ProxyShell)
CVE-2014-4078 e CVE-2020-0796, rispettivamente legate a IIS e SMBv3
L’iniezione avviene sfruttando queste falle per ottenere l’accesso alle pagine di login e modificarne il codice, senza richiedere ulteriori privilegi una volta compromesso il sistema.
Colpiti governi e aziende in oltre 20 Paesi
Secondo i ricercatori Klimentiy Galkin e Maxim Suslov, le infezioni hanno interessato almeno 22 server appartenenti a enti governativi, seguiti da aziende del settore industriale, logistico e tecnologico. I Paesi più colpiti includono Vietnam, Russia, Taiwan, Cina, Pakistan, Libano, Australia, Zambia, Paesi Bassi e Turchia.
Il dato più preoccupante è che, a distanza di anni dalla scoperta delle vulnerabilità utilizzate, molti server Microsoft Exchange risultano ancora esposti e non aggiornati. Questo consente agli attaccanti di sfruttare una superficie di attacco ampia e di restare nascosti per lunghi periodi, intercettando credenziali in chiaro e facilitando movimenti laterali nelle infrastrutture compromesse.
Al momento non è stato attribuito un gruppo specifico alla campagna, che resta avvolta nell’anonimato. La natura silenziosa degli attacchi, però, e la scelta dei bersagli fanno pensare a operatori ben organizzati, forse legati ad attività di cyber-spionaggio.
Condividi l'articolo
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Le aziende italiane prevedono un aumento degli investimenti... La cybersecurity sta acquisendo sempre più importanza tra... -
Sophos Annual Threat Report: i malware e gli strumenti più... Nel 2024, le piccole e medie imprese, spesso considerate il... -
Down di MATLAB: MathWorks conferma l’attacco... MATLAB ha smesso di funzionare per quasi una settimana e... -
Acronis: l’italia traina la crescita MSP Nel corso del “TRU Security Day 2025” di... -
Akamai individua “BadSuccessor” per... I ricercatori di Akamai hanno individuato di recente...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Attacchi silenziosi ai server Exchange: keylogger in... Una nuova campagna mirata ai server Microsoft Exchange... -
Prompt injection indiretta, Google migliora la sua... Tra le minacce più preoccupanti per i sistemi di... -
Cybercriminali russi aggirano l’MFA di Gmail con una... Il team del Google Threat Intelligence ha pubblicato una... -
Anche Viasat vittima del cyberspionaggio di Salt Typhoon Anche Viasat, colosso delle telecomunicazioni americano, è... -
Asana: un bug nell’integrazione AI esponeva i dati... Abbiamo appena parlato della prima vulnerabilità mai...
Ransomware: la serie
No posts found.