TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Alex Lanstein ผู้อำนวยการอาวุโสจาก FireEye ออกมาแจ้งเตือนถึงแคมเปญสแปม Cisco Webex ซึ่งใช้การโจมตีแบบ Open Redirect หลอกเหยื่อที่เผลอกด “Join Meeting” ให้เปลี่ยนเส้นทางไปดาวน์โหลด Remote Access Trojan ซึ่งมีความแนบเนียนมากเนื่องจากเป็นการ Phishing ภายใต้โดเมน secure-web.cisco.com ของ Cisco เอง
การโจมตีแบบ Open Redirect คือการที่แฮ็กเกอร์ใช้ประโยชน์จากเว็บไซต์ทั่วไปในการสร้าง URL ภายใต้โดเมนของเว็บไซต์นั้นๆ แล้วเปลี่ยนเส้นทางของผู้เข้าชมไปยังไซต์อื่นตามที่ตนต้องการ ช่วยให้แฮ็กเกอร์สามารถใช้ URL ของเว็บไซต์ชื่อดังหรือที่มีความน่าเชื่อถือในการโจมตีแบบ Phishing หรือหลอกให้ดาวน์โหลดมัลแวร์ ยกตัวอย่างเช่น Google มี Open Redirect ที่ https://www.google.com/url?q=[URL] สำหรับส่งผู้เข้าชมไปไซต์ภายนอกซึ่งทุกคนสามารถใช้ได้ รวมไปถึงแฮ็กเกอร์ด้วยเช่นกัน
Lanstein ได้โพสต์บน Twitter ระบุว่าค้นพบแคมเปญสแปม Cisco Webex ที่ใช้จดหมายเชิญเข้าประชุมออนไลน์ปลอม ซึ่งแฝงไว้ด้วยการโจมตีแบบ Open Redirect ในการเปลี่ยนเส้นทางหลอกเหยื่อให้ไปดาวน์โหลด WarZone Remote Access Trojan โดยจดหมายเชิญนั้นมีลักษณะหน้าตาเหมือนจดหมายเชิญทั่วไปของ Cisco Webex จนแทบจะแยกไม่ออก
เมื่อเหยื่อเผลอกดปุ่ม “Join Meeting” เหยื่อจะถูกนำไปสู่หน้าจอของ Cisco Webex ซึ่งจะทำการดาวน์โหลด webex.exe มาให้เหยื่อติดตั้ง อย่างไรก็ตาม webex.exe ดังกล่าวไม่ใช่ Cisco Webex Client จริงๆ สำหรับใช้เข้าร่วมประชุมออนไลน์ แต่เป็น Remote Access Trojan ที่ถูกดาวน์โหลดมาจากไซต์ของแฮ็กเกอร์ เนื่องจากแฮ็กเกอร์ใช้การโจมตีแบบ Open Redirect บนโดเมน secure-web.cisco.com จึงเป็นไปได้ยากที่เหยื่อจะจับผิดการดาวน์โหลดมัลแวร์เข้ามา วิธีนี้จึงเป็นการแพร่กระจายมัลแวร์ที่ได้ผลเป็นอย่างมาก
จากการตรวจสอบพบว่า WarZone Remote Access Trojan มีความสามารถตั้งแต่การดาวน์โหลดและรันซอฟต์แวร์ รันคำสั่ง ใช้เว็บแคมจากระยะไกล ลบไฟล์ เปิดใช้บริการ Remote Desktop และ VNC เพื่อเข้าถึงจากระยะไกล ไปจนถึงการเก็บข้อมูลจากแป้นพิมพ์และขโมยรหัสผ่าน Firefox/Chrome
สำหรับผู้ที่รู้ตัวแล้วว่าตกเป็นเหยื่อของแคมเปญสแปม Cisco Webex นี้ แนะนำให้ทำการสแกนไวรัสบนเครื่องโดยทันที และเปลี่ยนรหัสผ่านบนเว็บไซต์ทั้งหมดโดยเร็ว
