推荐关注:

排便门思科重定向漏洞被利用,可通过垃圾邮件跳转到恶意软件下载站点

收集整理:九站网 更新时间:20191110 文章来源:雷锋网

排便门研究人员最新发现一种垃圾邮件传播活动,其伪装成WebEx(WebEx是思科的子公司,为各种规模的公司创建所需软件解决方案)的会议邀请,并使用思科开放的重定向漏洞

排便门

排便门研究人员最新发现一种垃圾邮件传播活动,其伪装成WebEx(WebEx是思科的子公司,为各种规模的公司创建所需软件解决方案)的会议邀请,并使用思科开放的重定向漏洞将远程访问木马推送给收件人。

排便门研究人员称,攻击者通过使用开放重定向漏洞,使得合法站点允许未经授权的用户在该站点上创建URL地址,以此来将访问者重定向到他们希望的其他站点。

排便门这使攻击者可以利用知名公司的URL地址进行恶意软件或网络钓鱼活动,并增加垃圾邮件URL地址的合法[敏感词汇屏蔽]和受害者单击URL地址的机会。

排便门研究人员发现,Google在URLhttps://www.google.com/url?q=[url]上有一个开放的重定向漏洞,任何人(包括攻击者)都可以使用它来将访问者通过Google访问的站点重定向到另一个站点。

排便门WebEx会议邮件跳转恶意站点

排便门攻击者将垃圾邮件伪装成WebEx的会议视频邀请邮件,并在其内部植入WarZone远程访问木马(RAT)。

排便门实际上,研究人员认为这封垃圾邮件原本和正规的WebEx会议邀请并没有区别,甚至还有伪装成真实WebEx视频软件的详细安装步骤。

排便门不同之处在于,其利用漏洞实现了站点跳转。

排便门邮件直接链接到http://secure-web.cisco.com/网站上的URL地址,看起来就是原本的地址,而它将重定向到另一个自动下载webex.exe可执行文件的站点。

例如,下图是在合法WebEx会议邀请中单击“开始会议”按钮时发生的情况示例。谷歌浏览器的便捷下载功能会将用户带到站点并提示自动下载名为webex.exe的WebEx客户端。

▲合法邀请下载webex.exe客户端

当用户点击下载会议程序,其中的快捷下载按钮会跳转到远程访问木马的自动安装站点。一旦安装,该客户端允许参与者查看主机屏幕、共享其屏幕、共享文件以及与其他用户聊天等。

由于WebEx为思科所拥有,因此使用此URL地址很可能会轻易使用户误以为webex.exe是合法的WebEx客户端,通常会在用户加入会议时将其推送给用户。

唯一的问题是,此webex.exe不是合法的WebEx客户端,而是一种使攻击者可以完全访问受害者的PC端RAT。

▲[敏感词汇屏蔽]WebEx会议电子邮件

攻击过程

 安装后,RAT会将自身复制到%AppData%\services.exe和%UserProfile%\MusNotificationUx\MusNotificationUx.vbs\[敏感词汇屏蔽]ifil32.exe,然后创建一个自动启动程序以在启动同时运行恶意软件。

它还将在启动文件夹中创建一个快捷方式,以启动%UserProfile%\MusNotificationUx\MusNotificationUx.vbs,该快捷方式将执行[敏感词汇屏蔽]ifil32.exe文件。

根据上传到H..ybridAnalysis的先前样本发现,此程序正是WarZoneRAT,而某些VirusTotal定义表明它可能是AveMariaTrojan。

基于在攻击示例中找到的命令,该RAT具有以下功能:

下载并执行软件

执行命令

远程使用网络摄像头

删除文件

启用远程桌面服务以进行远程访问

启用VNC进行远程访问

日志击键

窃取Firefox和Chrome密码

遭到上述攻击的用户,需要立刻扫描其计算机是否存在感染,并[敏感词汇屏蔽]定他们访问网站的所有登录凭据均受到破坏,并且密码应立即更改。

排便门思科重定向漏洞被利用,可通过垃圾邮件跳转到恶意软件下载站点》一文由九站网收集整理,不代表本站支持本文观点,如有疑问请与我们取得联系

热门频道推荐 建站经验 策划盈利 搜索优化 业界动态 境外动态 网络评论 传媒播报 产品运营 交互设计 网站推广 免费资源 网络游戏 网页游戏 电商要闻 电商分析 移动通讯 数码咨讯 移动应用 数码评测 创业模式 创业资本 创业点评 创业经验 电商淘客 电商微商

九站草根门户 服务草根站长 集结网络群体的力量!
免责申明:本站为非盈利性网站,网站所载文章除申明原创皆来源于网络,其版权归原作者所有。如无意侵犯您的权益,请及时与我们联系,我们将在第一时间处理您的诉求。
PHP程序订制开发,九站系统销售联系QQ 1142088012 蜀ICP备06021074号 Copyright 2011-2016 © Www.O9z.Net .All Rights Reserved