研究人员最新发现一种垃圾邮件传播活动,其伪装成WebEx(WebEx 是思科的子公司,为各种规模的公司创建所需软件解决方案)的会议邀请,并使用思科开放的重定向漏洞将远程访问木马推送给收件人。
研究人员称,攻击者通过使用开放重定向漏洞,使得合法站点允许未经授权的用户在该站点上创建URL地址,以此来将访问者重定向到他们希望的其他站点。
这使攻击者可以利用知名公司的URL地址进行恶意软件或网络钓鱼活动,并增加垃圾邮件URL地址的合法性和受害者单击URL地址的机会。
研究人员发现,Google在URL https://www.google.com/url?q=[url]上有一个开放的重定向漏洞,任何人(包括攻击者)都可以使用它来将访问者通过Google访问的站点重定向到另一个站点。
WebEx会议邮件跳转恶意站点
攻击者将垃圾邮件伪装成WebEx的会议视频邀请邮件,并在其内部植入WarZone远程访问木马(RAT)。
实际上,研究人员认为这封垃圾邮件原本和正规的WebEx会议邀请并没有区别,甚至还有伪装成真实WebEx视频软件的详细安装步骤。
不同之处在于,其利用漏洞实现了站点跳转。
邮件直接链接到http://secure-web.cisco.com/网站上的URL地址,看起来就是原本的地址,而它将重定向到另一个自动下载webex.exe可执行文件的站点。
例如,下图是在合法WebEx会议邀请中单击“开始会议”按钮时发生的情况示例。谷歌浏览器的便捷下载功能会将用户带到站点并提示自动下载名为webex.exe的WebEx客户端。
▲合法邀请下载webex.exe客户端
当用户点击下载会议程序,其中的快捷下载按钮会跳转到远程访问木马的自动安装站点。一旦安装,该客户端允许参与者查看主机屏幕、共享其屏幕、共享文件以及与其他用户聊天等。
由于WebEx为思科所拥有,因此使用此URL地址很可能会轻易使用户误以为webex.exe是合法的WebEx客户端,通常会在用户加入会议时将其推送给用户。
唯一的问题是,此webex.exe不是合法的WebEx客户端,而是一种使攻击者可以完全访问受害者的PC端RAT。
▲假WebEx会议电子邮件
攻击过程
安装后,RAT会将自身复制到%AppData%\ services.exe和%UserProfile%\ MusNotificationUx \ MusNotificationUx.vbs \ avifil32.exe,然后创建一个自动启动程序以在启动同时运行恶意软件。
它还将在启动文件夹中创建一个快捷方式,以启动%UserProfile%\ MusNotificationUx \ MusNotificationUx.vbs,该快捷方式将执行avifil32.exe文件。
根据上传到Hybrid Analysis的先前样本发现,此程序正是WarZone RAT,而某些VirusTotal定义表明它可能是AveMaria Trojan。
基于在攻击示例中找到的命令,该RAT具有以下功能:
下载并执行软件
执行命令
远程使用网络摄像头
删除文件
启用远程桌面服务以进行远程访问
启用VNC进行远程访问
日志击键
窃取Firefox和Chrome密码
遭到上述攻击的用户,需要立刻扫描其计算机是否存在感染,并假定他们访问网站的所有登录凭据均受到破坏,并且密码应立即更改。