亚洲全黄无码一级在线看_国产剧情久久久性色_无码av一区二区三区无码_亚洲成a×人片在线观看

當(dāng)前位置: 首頁 > 科技新聞 >

思科重定向漏洞被利用,可通過垃圾郵件跳轉(zhuǎn)到

時間:2019-11-12 18:31來源:網(wǎng)絡(luò)整理 瀏覽:
思科重定向漏洞被利用,可通過垃圾郵件跳轉(zhuǎn)到惡意軟件下載站點(diǎn)

語音播放文章內(nèi)容

由深聲科技提供技術(shù)支持

您的瀏覽器不支持 audio 元素。

雷鋒網(wǎng)11月9日消息,研究人員最新發(fā)現(xiàn)一種垃圾郵件傳播活動,其偽裝成WebEx(WebEx 是思科的子公司,為各種規(guī)模的公司創(chuàng)建所需軟件解決方案)的會議邀請,并使用思科開放的重定向漏洞將遠(yuǎn)程訪問木馬推送給收件人。

研究人員稱,攻擊者通過使用開放重定向漏洞,使得合法站點(diǎn)允許未經(jīng)授權(quán)的用戶在該站點(diǎn)上創(chuàng)建URL地址,以此來將訪問者重定向到他們希望的其他站點(diǎn)。

思科重定向漏洞被利用,可通過垃圾郵件跳轉(zhuǎn)到惡意軟件下載站點(diǎn)

這使攻擊者可以利用知名公司的URL地址進(jìn)行惡意軟件或網(wǎng)絡(luò)釣魚活動,并增加垃圾郵件URL地址的合法性和受害者單擊URL地址的機(jī)會。

研究人員發(fā)現(xiàn),Google在URL https://www.google.com/url?q=[url]上有一個開放的重定向漏洞,任何人(包括攻擊者)都可以使用它來將訪問者通過Google訪問的站點(diǎn)重定向到另一個站點(diǎn)。

WebEx會議郵件跳轉(zhuǎn)惡意站點(diǎn)

攻擊者將垃圾郵件偽裝成WebEx的會議視頻邀請郵件,并在其內(nèi)部植入WarZone遠(yuǎn)程訪問木馬(RAT)。

實(shí)際上,研究人員認(rèn)為這封垃圾郵件原本和正規(guī)的WebEx會議邀請并沒有區(qū)別,甚至還有偽裝成真實(shí)WebEx視頻軟件的詳細(xì)安裝步驟。

不同之處在于,其利用漏洞實(shí)現(xiàn)了站點(diǎn)跳轉(zhuǎn)。

郵件直接鏈接到http://secure-web.cisco.com/網(wǎng)站上的URL地址,看起來就是原本的地址,而它將重定向到另一個自動下載webex.exe可執(zhí)行文件的站點(diǎn)。

例如,下圖是在合法WebEx會議邀請中單擊“開始會議”按鈕時發(fā)生的情況示例。谷歌瀏覽器的便捷下載功能會將用戶帶到站點(diǎn)并提示自動下載名為webex.exe的WebEx客戶端。

思科重定向漏洞被利用,可通過垃圾郵件跳轉(zhuǎn)到惡意軟件下載站點(diǎn)

▲合法邀請下載webex.exe客戶端

當(dāng)用戶點(diǎn)擊下載會議程序,其中的快捷下載按鈕會跳轉(zhuǎn)到遠(yuǎn)程訪問木馬的自動安裝站點(diǎn)。一旦安裝,該客戶端允許參與者查看主機(jī)屏幕、共享其屏幕、共享文件以及與其他用戶聊天等。

由于WebEx為思科所擁有,因此使用此URL地址很可能會輕易使用戶誤以為webex.exe是合法的WebEx客戶端,通常會在用戶加入會議時將其推送給用戶。

唯一的問題是,此webex.exe不是合法的WebEx客戶端,而是一種使攻擊者可以完全訪問受害者的PC端RAT。

思科重定向漏洞被利用,可通過垃圾郵件跳轉(zhuǎn)到惡意軟件下載站點(diǎn)

▲假WebEx會議電子郵件

攻擊過程

安裝后,RAT會將自身復(fù)制到%AppData%/ services.exe和%UserProfile%/ MusNotificationUx / MusNotificationUx.vbs / avifil32.exe,然后創(chuàng)建一個自動啟動程序以在啟動同時運(yùn)行惡意軟件。

思科重定向漏洞被利用,可通過垃圾郵件跳轉(zhuǎn)到惡意軟件下載站點(diǎn)

它還將在啟動文件夾中創(chuàng)建一個快捷方式,以啟動%UserProfile%/ MusNotificationUx / MusNotificationUx.vbs,該快捷方式將執(zhí)行avifil32.exe文件。

思科重定向漏洞被利用,可通過垃圾郵件跳轉(zhuǎn)到惡意軟件下載站點(diǎn)

根據(jù)上傳到Hybrid Analysis的先前樣本發(fā)現(xiàn),此程序正是WarZone RAT,而某些VirusTotal定義表明它可能是AveMaria Trojan。

基于在攻擊示例中找到的命令,該RAT具有以下功能:

下載并執(zhí)行軟件

執(zhí)行命令

遠(yuǎn)程使用網(wǎng)絡(luò)攝像頭

刪除文件

啟用遠(yuǎn)程桌面服務(wù)以進(jìn)行遠(yuǎn)程訪問

啟用VNC進(jìn)行遠(yuǎn)程訪問

日志擊鍵

竊取Firefox和Chrome密碼

遭到上述攻擊的用戶,需要立刻掃描其計算機(jī)是否存在感染,并假定他們訪問網(wǎng)站的所有登錄憑據(jù)均受到破壞,并且密碼應(yīng)立即更改。

參考鏈接:bleepingcomputer

更多精彩內(nèi)容請關(guān)注雷鋒網(wǎng)網(wǎng)絡(luò)安全欄目或雷鋒網(wǎng)(公眾號:雷鋒網(wǎng))旗下微信公眾號宅客頻道。

思科重定向漏洞被利用,可通過垃圾郵件跳轉(zhuǎn)到惡意軟件下載站點(diǎn)

推薦內(nèi)容