思科重定向漏洞被利用,可通过垃圾邮件跳转到恶意软件下载站点

有研究人员最新发现一种垃圾邮件传播活动,其伪装成WebEx(WebEx 是思科的子公司,为各种规模的公司创建所需软件解决方案)的会议邀请,并使用思科开放的重定向漏洞将远程访问木马推送给收件人。

研究人员称,攻击者通过使用开放重定向漏洞,使得合法站点允许未经授权的用户在该站点上创建URL地址,以此来将访问者重定向到他们希望的其他站点。

这使攻击者可以利用知名公司的URL地址进行恶意软件或网络钓鱼活动,并增加垃圾邮件URL地址的合法性和受害者单击URL地址的机会。

研究人员发现,Google在URL https://www.google.com/url?q=[url]上有一个开放的重定向漏洞,任何人(包括攻击者)都可以使用它来将访问者通过Google访问的站点重定向到另一个站点。

WebEx会议邮件跳转恶意站点

攻击者将垃圾邮件伪装成WebEx的会议视频邀请邮件,并在其内部植入WarZone远程访问木马(RAT)。

实际上,研究人员认为这封垃圾邮件原本和正规的WebEx会议邀请并没有区别,甚至还有伪装成真实WebEx视频软件的详细安装步骤。

不同之处在于,其利用漏洞实现了站点跳转。

邮件直接链接到http://secure-web.cisco.com/网站上的URL地址,看起来就是原本的地址,而它将重定向到另一个自动下载webex.exe可执行文件的站点。

例如,下图是在合法WebEx会议邀请中单击“开始会议”按钮时发生的情况示例。谷歌浏览器的便捷下载功能会将用户带到站点并提示自动下载名为webex.exe的WebEx客户端。

▲合法邀请下载webex.exe客户端

当用户点击下载会议程序,其中的快捷下载按钮会跳转到远程访问木马的自动安装站点。一旦安装,该客户端允许参与者查看主机屏幕、共享其屏幕、共享文件以及与其他用户聊天等。

由于WebEx为思科所拥有,因此使用此URL地址很可能会轻易使用户误以为webex.exe是合法的WebEx客户端,通常会在用户加入会议时将其推送给用户。

唯一的问题是,此webex.exe不是合法的WebEx客户端,而是一种使攻击者可以完全访问受害者的PC端RAT。

▲假WebEx会议电子邮件

攻击过程

 安装后,RAT会将自身复制到%AppData%\ services.exe和%UserProfile%\ MusNotificationUx \ MusNotificationUx.vbs \ avifil32.exe,然后创建一个自动启动程序以在启动同时运行恶意软件。

它还将在启动文件夹中创建一个快捷方式,以启动%UserProfile%\ MusNotificationUx \ MusNotificationUx.vbs,该快捷方式将执行avifil32.exe文件。

根据上传到Hybrid Analysis的先前样本发现,此程序正是WarZone RAT,而某些VirusTotal定义表明它可能是AveMaria Trojan。

基于在攻击示例中找到的命令,该RAT具有以下功能:

下载并执行软件

执行命令

远程使用网络摄像头

删除文件

启用远程桌面服务以进行远程访问

启用VNC进行远程访问

日志击键

窃取Firefox和Chrome密码

遭到上述攻击的用户,需要立刻扫描其计算机是否存在感染,并假定他们访问网站的所有登录凭据均受到破坏,并且密码应立即更改。