Informasjonssikkerhet ekspert Alex Lanstein oppdaget en original vektor for distribusjon av RAT trojan. Kriminelle gi linker til RAT trojan i WebEx invitasjoner.
Cybercriminals levere malware ved å omdirigere offeret gjennom en åpen omdirigering fra Cisco nettsiden til den infiserte siden som verter falske WebEx klient, en online konferanseprogramvare.“Ved hjelp av åpne omdirigeringer legge legitimitet til spam webadresser og øker sjansene for at ofrene vil klikke på en URL. En åpen viderekobling er når et legitimt nettsted tillater uautoriserte brukere å lage webadresser på det området for å omdirigere besøkende til andre områder som de ønsker”, - rapporter Alex Lanstein.
Angrepet starter med et brev med en invitasjon til en WebEx konferanse. Den offisielle siden til systemet er angitt som avsender, og utseendet av meldingen svarer til legitime prøver. Teksten inneholder en link der offeret angivelig kan delta i samtalen.
Nettkriminelle bruker en åpen viderekobling mekanisme som lar deg sende en besøkende til et tredjeparts ressurs gjennom et legitimt nettsted.
Til tross for at koblingen fra falske invitasjonen omfatter den offisielle Cisco domene, i realiteten åpner det inntrengere siden.
“Som WebEx er eid av Cisco, bruk av denne nettadressen kan lett lure en bruker til å tro at webex.exe er den legitime WebEx klient som ofte presset på brukerne når de delta i et møte”, - skriver Alex Lanstein.
Offeret blir tilbudt laste ned webex.exe filen, angivelig nødvendig å starte konferansen, derimot, i stedet for den nytte, krigssonen Trojan, som er i stand:
- laste opp, slette og kjøre filer;
- skjærings tastatur inndata;
- aktivere fjerntilgang tjenester til maskinen;
- fjernstyre videokameraet;
- stjele lagrede passord fra Firefox og Chrome.
Spesialister ikke kunne nøyaktig bestemme hvorvidt bakdør hører til en bestemt familie. Noen tjenester identifisere det som Warzone, andre identifisere den som AveMariaRAT trojan. Programmet er innebygget i systemet prosessen MusNotificationUx, som er ansvarlig for pop-up meldinger om tilgjengelige Windows-oppdateringer. Den malware skaper også en snarvei i oppstart listen for å fortsette å jobbe etter at datamaskinen starter på nytt.
Les også: xHelper “undeletable” Trojan smittet 45,000 Android-enheter
Ifølge statistikk satt opp spamhaus spesialister, i tredje kvartal i år, den AveMariaRAT malware tok den nest siste plass i toppen 20 trojanere i forhold til antallet kommandoer servere – det har 19 kontrollsentre. Det største antall ressurser er i Lokibot botnet, forfatterne av som tak 898 kriminelle nettverksnoder.
Anbefaling:
Alle som har møtt denne spam-kampanje og henrettet den webex.exe bør umiddelbart skanne datamaskinen for infeksjoner. Ofre bør også anta at eventuelle påloggingsinformasjon for nettsteder de besøker er kompromittert og passordene bør endres umiddelbart.
Denne spam-kampanje illustrerer også at etter råd fra sjekker en e-post URL før klikking kan ikke alltid være nok.
