Kriminelle giver links til RAT trojan i WebEx invitationer

Informationssikkerhed specialist Alex Lanstein opdagede en original vektor for fordelingen af ​​RAT trojan. Kriminelle giver links til RAT trojan i WebEx invitationer.

Cybercriminals levere malware ved at omdirigere offeret gennem en åben omdirigering fra Cisco hjemmeside til den inficerede side, at værter den falske WebEx klient, en online konference software.

”Brug af åbne omdirigeringer tilføje legitimitet til spam URL'er og øger chancerne for, at ofrene vil klikke på en URL. En åben omdirigering er, når et legitimt websted tillader uautoriserede brugere at oprette URL'er på dette websted at omdirigere besøgende til andre websteder, som de ønsker”, - rapporter Alex Lanstein.

Angrebet begynder med et brev med en invitation til en WebEx konference. Den officielle site af systemet er angivet som afsender, og fremkomsten af ​​meddelelsen svarer til berettigede prøver. Teksten indeholder et link, hvor offeret angiveligt kan deltage i samtalen.

Cyberkriminelle anvende en åben omdirigering mekanisme, der gør det muligt at sende en besøgende til en tredjepart ressource gennem et legitimt websted.

WebEx invitation
WebEx invitation

På trods af at linket fra den falske invitation indeholder den officielle Cisco domænet, i virkeligheden åbner siden ubudne gæster.

”Som WebEx er ejet af Cisco, brugen af ​​denne webadresse kunne nemt narre en bruger til at tro, at webex.exe er den legitime WebEx klient, der er almindeligt skubbet på brugerne, når de deltager i et møde”, - skriver Alex Lanstein.

Offeret bliver tilbudt at downloade webex.exe fil, angiveligt nødvendigt at starte konferencen, imidlertid, i stedet for hjælpeprogrammet, warzone Trojan, som er i stand:

  • upload, slette og køre filer;
  • intercept tastaturinput;
  • aktivere fjernadgang tjenester til maskinen;
  • fjernstyre videokameraet;
  • stjæle gemte adgangskoder fra Firefox og Chrome.

Specialister kunne ikke præcist afgøre, om bagdøren tilhører en bestemt familie. Nogle tjenester identificere det som Warzone, andre identificere den som den AveMariaRAT trojan. Programmet er indlejret i MusNotificationUx systemet proces, som er ansvarlig for pop-up-meddelelser om ledige Windows-opdateringer. Den malware skaber også en genvej i start listen for at fortsætte med at arbejde, efter at computeren er genstartet.

Læs også: xHelper ”undeletable” trojanske inficeret 45,000 Android-enheder

Ifølge statistikker fra SpamHaus specialister, i tredje kvartal i år, den AveMariaRAT malware tog den næstsidste plads i toppen 20 trojanere, hvad angår antallet af kommando-servere – det har 19 kontrolcentre. Det største antal ressourcer er i Lokibot botnet, forfatterne hvilke hold 898 kriminelle netværk knudepunkter.

Henstilling:

Enhver, der har stødt på denne spam kampagne og henrettet den webex.exe bør straks scanne deres computer for infektioner. Ofrene bør også antage, at nogen login-oplysninger til websteder, de besøger er kompromitteret og passwords bør ændres straks.

Denne spam kampagne illustrerer også, at efter råd fra kontrollere en e-mail-URL, før du klikker måske ikke altid er nok.

Polina Lisovskaya

Jeg har arbejdet som marketingchef i årevis nu og elsker at søge efter interessante emner for dig

Efterlad et Svar

Tilbage til toppen knap