Hjem » Nyheter » Kriminelle gi linker til RAT trojan i WebEx invitasjoner

Kriminelle gi linker til RAT trojan i WebEx invitasjoner

Informasjonssikkerhet ekspert Alex Lanstein oppdaget en original vektor for distribusjon av RAT trojan. Kriminelle gi linker til RAT trojan i WebEx invitasjoner.

Cybercriminals levere malware ved å omdirigere offeret gjennom en åpen omdirigering fra Cisco nettsiden til den infiserte siden som verter falske WebEx klient, en online konferanseprogramvare.

“Ved hjelp av åpne omdirigeringer legge legitimitet til spam webadresser og øker sjansene for at ofrene vil klikke på en URL. En åpen viderekobling er når et legitimt nettsted tillater uautoriserte brukere å lage webadresser på det området for å omdirigere besøkende til andre områder som de ønsker”, - rapporter Alex Lanstein.

Angrepet starter med et brev med en invitasjon til en WebEx konferanse. Den offisielle siden til systemet er angitt som avsender, og utseendet av meldingen svarer til legitime prøver. Teksten inneholder en link der offeret angivelig kan delta i samtalen.

Nettkriminelle bruker en åpen viderekobling mekanisme som lar deg sende en besøkende til et tredjeparts ressurs gjennom et legitimt nettsted.

WebEx invitasjon
WebEx invitasjon

Til tross for at koblingen fra falske invitasjonen omfatter den offisielle Cisco domene, i realiteten åpner det inntrengere siden.

“Som WebEx er eid av Cisco, bruk av denne nettadressen kan lett lure en bruker til å tro at webex.exe er den legitime WebEx klient som ofte presset på brukerne når de delta i et møte”, - skriver Alex Lanstein.

Offeret blir tilbudt laste ned webex.exe filen, angivelig nødvendig å starte konferansen, derimot, i stedet for den nytte, krigssonen Trojan, som er i stand:

  • laste opp, slette og kjøre filer;
  • skjærings tastatur inndata;
  • aktivere fjerntilgang tjenester til maskinen;
  • fjernstyre videokameraet;
  • stjele lagrede passord fra Firefox og Chrome.
LESE  Hvordan kan jeg fjerne Bb1.exe?

Spesialister ikke kunne nøyaktig bestemme hvorvidt bakdør hører til en bestemt familie. Noen tjenester identifisere det som Warzone, andre identifisere den som AveMariaRAT trojan. Programmet er innebygget i systemet prosessen MusNotificationUx, som er ansvarlig for pop-up meldinger om tilgjengelige Windows-oppdateringer. Den malware skaper også en snarvei i oppstart listen for å fortsette å jobbe etter at datamaskinen starter på nytt.

Les også: xHelper “undeletable” Trojan smittet 45,000 Android-enheter

Ifølge statistikk satt opp spamhaus spesialister, i tredje kvartal i år, den AveMariaRAT malware tok den nest siste plass i toppen 20 trojanere i forhold til antallet kommandoer servere – det har 19 kontrollsentre. Det største antall ressurser er i Lokibot botnet, forfatterne av som tak 898 kriminelle nettverksnoder.

Anbefaling:

Alle som har møtt denne spam-kampanje og henrettet den webex.exe bør umiddelbart skanne datamaskinen for infeksjoner. Ofre bør også anta at eventuelle påloggingsinformasjon for nettsteder de besøker er kompromittert og passordene bør endres umiddelbart.

Denne spam-kampanje illustrerer også at etter råd fra sjekker en e-post URL før klikking kan ikke alltid være nok.

[Totalt:0    Gjennomsnitt:0/5]

Om Trojan Killer

Carry Trojan Killer Portable på minnepinne. Vær sikker på at du er i stand til å hjelpe din PC motstå eventuelle cyber trusler uansett hvor du går.

Sjekk også

MageCart på Heroku Cloud Platform

Forskere fant flere MageCart Web Skimmers På Heroku Cloud Platform

Researchers at Malwarebytes reported about finding several MageCart web skimmers on the Heroku cloud platform

Android spyware CallerSpy

CallerSpy spyware masker som en Android-chat program

Trend Micro experts discovered the malware CallerSpy, which masks as an Android chat application and, …

Legg igjen et svar