Hackers estão explorando servidores Microsoft Exchange expostos publicamente para roubar credenciais de usuários por meio de keyloggers injetados nas páginas de login. Os ataques, que atingiram pelo menos 70 servidores em 26 países, foram inicialmente identificados em 2024 e continuam ativos. A campanha envolve a exploração de vulnerabilidades conhecidas no Microsoft Exchange, como as falhas ProxyShell e ProxyLogon, permitindo aos invasores modificar o código das páginas de autenticação.
O JavaScript malicioso inserido nas páginas coleta nomes de usuário, senhas e, em alguns casos, cookies, User-Agent e o horário do acesso. Dois métodos principais de captura de dados foram identificados: no primeiro, as credenciais são armazenadas localmente em um arquivo dentro do próprio servidor comprometido, acessível externamente. Essa abordagem minimiza o tráfego de saída e reduz as chances de detecção. No segundo método, os dados são exfiltrados em tempo real via um bot no Telegram, usando cabeçalhos de API para envio das informações roubadas.
Em outro caso, os hackers utilizaram túneis DNS combinados com requisições HTTPS POST para driblar defesas e transmitir os dados furtados. Os setores mais atingidos incluem governos, empresas de tecnologia, indústrias e logística. Países como Vietnã, Rússia, Taiwan, China, Paquistão, Líbano, Austrália, Zâmbia, Holanda e Turquia estão entre os mais afetados. O ataque evidencia um problema persistente: muitos servidores Exchange continuam vulneráveis a falhas antigas, permitindo que invasores permaneçam ocultos por longos períodos enquanto capturam credenciais em texto claro.
