Breaking News
AMR | Sophos Webinar

เตือนสแปม Cisco Webex หลอกเปลี่ยนเส้นทางเหยื่อไปดาวน์โหลดมัลแวร์

Alex Lanstein ผู้อำนวยการอาวุโสจาก FireEye ออกมาแจ้งเตือนถึงแคมเปญสแปม Cisco Webex ซึ่งใช้การโจมตีแบบ Open Redirect หลอกเหยื่อที่เผลอกด “Join Meeting” ให้เปลี่ยนเส้นทางไปดาวน์โหลด Remote Access Trojan ซึ่งมีความแนบเนียนมากเนื่องจากเป็นการ Phishing ภายใต้โดเมน secure-web.cisco.com ของ Cisco เอง

การโจมตีแบบ Open Redirect คือการที่แฮ็กเกอร์ใช้ประโยชน์จากเว็บไซต์ทั่วไปในการสร้าง URL ภายใต้โดเมนของเว็บไซต์นั้นๆ แล้วเปลี่ยนเส้นทางของผู้เข้าชมไปยังไซต์อื่นตามที่ตนต้องการ ช่วยให้แฮ็กเกอร์สามารถใช้ URL ของเว็บไซต์ชื่อดังหรือที่มีความน่าเชื่อถือในการโจมตีแบบ Phishing หรือหลอกให้ดาวน์โหลดมัลแวร์ ยกตัวอย่างเช่น Google มี Open Redirect ที่ https://www.google.com/url?q=[URL] สำหรับส่งผู้เข้าชมไปไซต์ภายนอกซึ่งทุกคนสามารถใช้ได้ รวมไปถึงแฮ็กเกอร์ด้วยเช่นกัน

Lanstein ได้โพสต์บน Twitter ระบุว่าค้นพบแคมเปญสแปม Cisco Webex ที่ใช้จดหมายเชิญเข้าประชุมออนไลน์ปลอม ซึ่งแฝงไว้ด้วยการโจมตีแบบ Open Redirect ในการเปลี่ยนเส้นทางหลอกเหยื่อให้ไปดาวน์โหลด WarZone Remote Access Trojan โดยจดหมายเชิญนั้นมีลักษณะหน้าตาเหมือนจดหมายเชิญทั่วไปของ Cisco Webex จนแทบจะแยกไม่ออก

เมื่อเหยื่อเผลอกดปุ่ม “Join Meeting” เหยื่อจะถูกนำไปสู่หน้าจอของ Cisco Webex ซึ่งจะทำการดาวน์โหลด webex.exe มาให้เหยื่อติดตั้ง อย่างไรก็ตาม webex.exe ดังกล่าวไม่ใช่ Cisco Webex Client จริงๆ สำหรับใช้เข้าร่วมประชุมออนไลน์ แต่เป็น Remote Access Trojan ที่ถูกดาวน์โหลดมาจากไซต์ของแฮ็กเกอร์ เนื่องจากแฮ็กเกอร์ใช้การโจมตีแบบ Open Redirect บนโดเมน secure-web.cisco.com จึงเป็นไปได้ยากที่เหยื่อจะจับผิดการดาวน์โหลดมัลแวร์เข้ามา วิธีนี้จึงเป็นการแพร่กระจายมัลแวร์ที่ได้ผลเป็นอย่างมาก

ตัวอย่างเมื่อกดคลิก “Join Meeting” แล้วถูกเปลี่ยนเส้นทางมาดาวน์โหลดมัลแวร์

จากการตรวจสอบพบว่า WarZone Remote Access Trojan มีความสามารถตั้งแต่การดาวน์โหลดและรันซอฟต์แวร์ รันคำสั่ง ใช้เว็บแคมจากระยะไกล ลบไฟล์ เปิดใช้บริการ Remote Desktop และ VNC เพื่อเข้าถึงจากระยะไกล ไปจนถึงการเก็บข้อมูลจากแป้นพิมพ์และขโมยรหัสผ่าน Firefox/Chrome

สำหรับผู้ที่รู้ตัวแล้วว่าตกเป็นเหยื่อของแคมเปญสแปม Cisco Webex นี้ แนะนำให้ทำการสแกนไวรัสบนเครื่องโดยทันที และเปลี่ยนรหัสผ่านบนเว็บไซต์ทั้งหมดโดยเร็ว

ที่มา: https://www.bleepingcomputer.com/news/security/clever-webex-spam-use-cisco-redirect-to-deliver-rat-malware/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] Aruba SD-WAN โซลูชั่นสำหรับจัดการสาขา จะกี่สาขาทั่วโลก ก็เป็นเรื่องง่ายสำหรับคุณ

วิวัฒนาการในการช่วยให้องค์กรบริหารจัดการการเชื่อมต่อสาขาได้อย่างมีประสิทธิภาพ แม้ว่าจะมีความหลากหลายเพียงใดก็ตาม Aruba SD-WAN จะช่วยให้จัดการได้ง่ายขึ้น เร็วขึ้น และปลอดภัยขึ้น ด้วยคุณสมบัติอันหลากหลาย ไม่ว่าจะเป็น programmable, firewall ในตัว, Zero Touch Provisioning และอื่นๆอีกมากมาย ซึ่งสามารถบริหารจัดการ traffic ได้อย่างชาญฉลาดตามนโยบายที่กำหนดไว้ อีกทั้งยังใช้งานง่าย มีความคล่องตัว และให้การเชื่อมต่อที่สามารถปรับเปลี่ยนได้

[Video Webinar] ทุกเรื่องต้องรู้! ก่อนลงทุน Wi-Fi 6 โดย Huawei

สำหรับผู้ที่ไม่ได้เข้าฟังการบรรยาย Huawei Webinar เรื่อง “ทุกเรื่องต้องรู้! ก่อนลงทุน Wi-Fi 6” พร้อมแนะนำ Check List สำหรับตรวจสอบว่าคุณพร้อมสำหรับการเริ่มใช้ Wi-Fi 6 แล้วหรือยัง …