登陆

章鱼tv足彩代理-思科重定向缝隙被使用,可通过垃圾邮件跳转到歹意软件下载站点

admin 2019-12-15 157人围观 ,发现0个评论
章鱼tv足彩代理-思科重定向缝隙被使用,可通过垃圾邮件跳转到歹意软件下载站点

宅客频道 11 月 9 日音讯,研究人员最新发现一种垃圾邮件传达活动,其伪装成WebEx(WebEx 是思科的子公司,为各种规划的公司创立所需软件解决方案)的会议约请,并运用思科敞开的重定向缝隙将长途拜访木马推送给收件人。

研究人员称,进犯者经过运用敞开重定向缝隙,使得合法站点答应未经授权的用户在该站点上创立URL地址,以此来将拜访者重定向到他们期望的其他站点。

这使进犯者能够运用闻名公司的URL地址进行歹意软件或网络垂钓活动,并添加垃圾邮件URL地址的合法性和受害者单击URL地址的时机。

研究人员发现,Google在URL https://章鱼tv足彩代理-思科重定向缝隙被使用,可通过垃圾邮件跳转到歹意软件下载站点www.google.com/url?q=[url]上有一个敞开的重定向缝隙,任何人(包含进犯者)都能够运用它来将拜访者经过Google拜访的站点重定向到另一章鱼tv足彩代理-思科重定向缝隙被使用,可通过垃圾邮件跳转到歹意软件下载站点个站点。

WebEx会议邮件跳转歹意站点

进犯者将垃圾邮件伪装成WebEx的会议视频约请邮件,并在其内部植入WarZone长途拜访木马(RAT)。

实际上,研究人员以为这封垃圾邮件本来和正规的WebEx会议约请并没有差异,乃至还有伪装成实在WebEx视频软件的具体装置进程。

不同之处在于,其运用缝隙完成了站点跳转。

邮件直接链接到hgpttp://secure-web.cisco.com/网站上的URL地址,看起来便是本来的地址,而它将重定向到另一个主动下载webex.exe可履行文件的站点。

例如,下图是在合法WebEx会议约请中单击“开端会议”按钮时发作的状况示例。谷歌浏览器的方便下载功用会将用户带到站点并提示主动下载名为webex.exe的WebEx客户端。

▲合法约请下载webex.exe客户端

当用户点击下载会议程序,其间的方便下载按钮会跳转到长途拜访木马的主动装置站点。一旦装置,该客户端答应参与者检查主机屏幕、同享其屏幕、同享文件以及与其他用户聊天等。

因为WebEx为思科所具有,因而运用此URL地址很可能会容易运用户误以为webex.exe是合法的WebEx客户端,一般会在用户参加会议时将其推送给用户。

仅有的问题是,此webex.exe不是合法的WebEx客户端,而是一种使进犯者能够彻底拜访受害者的PC端RAT。

▲假WebEx会议电子邮件

进犯进程

装置后,RAT会将本身复制到%AppData% services.exe和%UserProfile% MusNotificationUx MusNotificationUx.vbs avifil32.exe,然后创立一个主动发动程序以在发动一起运转歹意软件。

它还将在发动文件夹中创立一个方便方式,以发动%UserProfile% MusNotificationUx MusNotificationUx.vbs,该方便方式将履行avifil32.exe文件。

依据上传到Hybrid Analysis的从前样本发现,此程序正是WarZone RAT,而某些VirusTotal界说标明它可能是AveMaria Trojan。

根据在进犯示例中找到的指令,该RAT具有以下功用:

下载并履行软件

履行指令

长途运用网络摄像头

删去文件

启用长途桌面服务以进行长途拜访

启用VNC进行长途拜访

日志击键

盗取Firefox和Chrome暗码

下载并履行软件

履行指令

长途运用网络摄像头

删去文件

启用长途桌面服务以进行长途拜访

启用VNC进行长途拜访

日志击键

盗取Firefox和Chrome暗码

遭到上述进犯的用户,需求马上扫描其计算机是否存在感染,并假定他们拜访网站的一切登录凭证均受到破坏,而且暗码应立即更改。

参阅链接:bleepingcomputer

---

  • 章鱼tv足彩代理-上海市政府与中建集团今签署战略协作结构协议
  • 信达生物(01801)逆市飙近半成 暂五连升兼五连阳
  • 请关注微信公众号
    微信二维码
    不容错过
    Powered By Z-BlogPHP