雷鋒網(wǎng)11月9日消息，研究人員最新發(fā)現(xiàn)一種垃圾郵件傳播活動(dòng)，其偽裝成WebEx（WebEx 是思科的子公司，為各種規(guī)模的公司創(chuàng)建所需軟件解決方案）的會(huì)議邀請(qǐng)，并使用思科開(kāi)放的重定向漏洞將遠(yuǎn)程訪問(wèn)木馬推送給收件人。

研究人員稱(chēng)，攻擊者通過(guò)使用開(kāi)放重定向漏洞，使得合法站點(diǎn)允許未經(jīng)授權(quán)的用戶(hù)在該站點(diǎn)上創(chuàng)建URL地址，以此來(lái)將訪問(wèn)者重定向到他們希望的其他站點(diǎn)。

這使攻擊者可以利用知名公司的URL地址進(jìn)行惡意軟件或網(wǎng)絡(luò)釣魚(yú)活動(dòng)，并增加垃圾郵件URL地址的合法性和受害者單擊URL地址的機(jī)會(huì)。

研究人員發(fā)現(xiàn)，Google在URL https://www.google.com/url?q=[url]上有一個(gè)開(kāi)放的重定向漏洞，任何人（包括攻擊者）都可以使用它來(lái)將訪問(wèn)者通過(guò)Google訪問(wèn)的站點(diǎn)重定向到另一個(gè)站點(diǎn)。

WebEx會(huì)議郵件跳轉(zhuǎn)惡意站點(diǎn)

攻擊者將垃圾郵件偽裝成WebEx的會(huì)議視頻邀請(qǐng)郵件，并在其內(nèi)部植入WarZone遠(yuǎn)程訪問(wèn)木馬（RAT）。

實(shí)際上，研究人員認(rèn)為這封垃圾郵件原本和正規(guī)的WebEx會(huì)議邀請(qǐng)并沒(méi)有區(qū)別，甚至還有偽裝成真實(shí)WebEx視頻軟件的詳細(xì)安裝步驟。

不同之處在于，其利用漏洞實(shí)現(xiàn)了站點(diǎn)跳轉(zhuǎn)。

郵件直接鏈接到http://secure-web.cisco.com/網(wǎng)站上的URL地址，看起來(lái)就是原本的地址，而它將重定向到另一個(gè)自動(dòng)下載webex.exe可執(zhí)行文件的站點(diǎn)。

例如，下圖是在合法WebEx會(huì)議邀請(qǐng)中單擊“開(kāi)始會(huì)議”按鈕時(shí)發(fā)生的情況示例。谷歌瀏覽器的便捷下載功能會(huì)將用戶(hù)帶到站點(diǎn)并提示自動(dòng)下載名為webex.exe的WebEx客戶(hù)端。

▲合法邀請(qǐng)下載webex.exe客戶(hù)端

當(dāng)用戶(hù)點(diǎn)擊下載會(huì)議程序，其中的快捷下載按鈕會(huì)跳轉(zhuǎn)到遠(yuǎn)程訪問(wèn)木馬的自動(dòng)安裝站點(diǎn)。一旦安裝，該客戶(hù)端允許參與者查看主機(jī)屏幕、共享其屏幕、共享文件以及與其他用戶(hù)聊天等。

由于WebEx為思科所擁有，因此使用此URL地址很可能會(huì)輕易使用戶(hù)誤以為webex.exe是合法的WebEx客戶(hù)端，通常會(huì)在用戶(hù)加入會(huì)議時(shí)將其推送給用戶(hù)。

唯一的問(wèn)題是，此webex.exe不是合法的WebEx客戶(hù)端，而是一種使攻擊者可以完全訪問(wèn)受害者的PC端RAT。

▲假WebEx會(huì)議電子郵件

攻擊過(guò)程

 安裝后，RAT會(huì)將自身復(fù)制到％AppData％\ services.exe和％UserProfile％\ MusNotificationUx \ MusNotificationUx.vbs \ avifil32.exe，然后創(chuàng)建一個(gè)自動(dòng)啟動(dòng)程序以在啟動(dòng)同時(shí)運(yùn)行惡意軟件。

它還將在啟動(dòng)文件夾中創(chuàng)建一個(gè)快捷方式，以啟動(dòng)％UserProfile％\ MusNotificationUx \ MusNotificationUx.vbs，該快捷方式將執(zhí)行avifil32.exe文件。

根據(jù)上傳到Hybrid Analysis的先前樣本發(fā)現(xiàn)，此程序正是WarZone RAT，而某些VirusTotal定義表明它可能是AveMaria Trojan。

基于在攻擊示例中找到的命令，該RAT具有以下功能：

下載并執(zhí)行軟件

執(zhí)行命令

遠(yuǎn)程使用網(wǎng)絡(luò)攝像頭

刪除文件

啟用遠(yuǎn)程桌面服務(wù)以進(jìn)行遠(yuǎn)程訪問(wèn)

啟用VNC進(jìn)行遠(yuǎn)程訪問(wèn)

日志擊鍵

竊取Firefox和Chrome密碼

遭到上述攻擊的用戶(hù)，需要立刻掃描其計(jì)算機(jī)是否存在感染，并假定他們?cè)L問(wèn)網(wǎng)站的所有登錄憑據(jù)均受到破壞，并且密碼應(yīng)立即更改。

參考鏈接：bleepingcomputer

更多精彩內(nèi)容請(qǐng)關(guān)注雷鋒網(wǎng)網(wǎng)絡(luò)安全欄目或雷鋒網(wǎng)旗下微信公眾號(hào)宅客頻道。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。