思科重定向漏洞被利用，可通过垃圾邮件跳转到恶意软件下载站点-k8凯发棋牌

雷锋网11月9日消息，研究人员最新发现一种垃圾邮件传播活动，其伪装成webex（webex 是思科的子公司，为各种规模的公司创建所需软件k8凯发棋牌的解决方案）的会议邀请，并使用思科开放的重定向漏洞将远程访问木马推送给收件人。

研究人员称，攻击者通过使用开放重定向漏洞，使得合法站点允许未经授权的用户在该站点上创建url地址，以此来将访问者重定向到他们希望的其他站点。

这使攻击者可以利用知名公司的url地址进行恶意软件或网络钓鱼活动，并增加垃圾邮件url地址的合法性和受害者单击url地址的机会。

研究人员发现，google在url https://www.google.com/url?q=[url]上有一个开放的重定向漏洞，任何人（包括攻击者）都可以使用它来将访问者通过google访问的站点重定向到另一个站点。

webex会议邮件跳转恶意站点

攻击者将垃圾邮件伪装成webex的会议视频邀请邮件，并在其内部植入warzone远程访问木马（rat）。

实际上，研究人员认为这封垃圾邮件原本和正规的webex会议邀请并没有区别，甚至还有伪装成真实webex视频软件的详细安装步骤。

不同之处在于，其利用漏洞实现了站点跳转。

邮件直接链接到http://secure-web.cisco.com/网站上的url地址，看起来就是原本的地址，而它将重定向到另一个自动下载webex.exe可执行文件的站点。

例如，下图是在合法webex会议邀请中单击“开始会议”按钮时发生的情况示例。谷歌浏览器的便捷下载功能会将用户带到站点并提示自动下载名为webex.exe的webex客户端。

▲合法邀请下载webex.exe客户端

当用户点击下载会议程序，其中的快捷下载按钮会跳转到远程访问木马的自动安装站点。一旦安装，该客户端允许参与者查看主机屏幕、共享其屏幕、共享文件以及与其他用户聊天等。

由于webex为思科所拥有，因此使用此url地址很可能会轻易使用户误以为webex.exe是合法的webex客户端，通常会在用户加入会议时将其推送给用户。

唯一的问题是，此webex.exe不是合法的webex客户端，而是一种使攻击者可以完全访问受害者的pc端rat。

▲假webex会议电子邮件

攻击过程

 安装后，rat会将自身复制到％appdata％\ services.exe和％userprofile％\ musnotificationux \ musnotificationux.vbs \ avifil32.exe，然后创建一个自动启动程序以在启动同时运行恶意软件。

它还将在启动文件夹中创建一个快捷方式，以启动％userprofile％\ musnotificationux \ musnotificationux.vbs，该快捷方式将执行avifil32.exe文件。

根据上传到hybrid analysis的先前样本发现，此程序正是warzone rat，而某些virustotal定义表明它可能是avemaria trojan。

基于在攻击示例中找到的命令，该rat具有以下功能：

下载并执行软件

执行命令

远程使用网络摄像头

删除文件

启用远程桌面服务以进行远程访问

启用vnc进行远程访问

日志击键

窃取firefox和chrome密码

遭到上述攻击的用户，需要立刻扫描其计算机是否存在感染，并假定他们访问网站的所有登录凭据均受到破坏，并且密码应立即更改。