Bezpečnostní specialisté objevili velice propracovanou potvoru, která řes webovou aplikaci Outlook dokáže ukrást hesla prakticky všech firemních účtů.
Na potvoru přišli odborníci z bezpečnostní firmy Cybereason, na kterou se obrátila nejmenovaná firma, která narazila ve své síti na podezřelé anomálie a chtěla zjistit, zda se nejedná o projev nějaké infekce. Specilisté následně narazili na podezřelou knihovnu OWAAUTH.DLL, která byla umístěna na serveru poskytujícím službu Outlook Web App. Knihovna na první pohled a podle názvu vypadala normálně, nicméně ji chyběl podpis a evidentně byla na server nahrána z cizího prostředí. Součásti knihovny byl backdoor, který umožnil přes šifrovaný protokol HTTPS odchytávat a dešifrovat hesla uživatelských účtů.
Ze své podstaty Outlook Web App požaduje poměrně jednoduché nastavení pravidel, které v případě nejmenované firmy byly nastaveny tak, že umožnily dostat se na server Outlook Web App z internetu. Kyberlumpi tedy mohli server bez povšimnutí ovládat několik měsíců.
Podle Cybereason je potvora velice propracovaná a je pravděpodobné, že útoků i obětí bude více, i když neuvádí, zda byla potvora nalezena i v jiných firmách.