เตือนสแปม Cisco Webex หลอกเปลี่ยนเส้นทางเหยื่อไปดาวน์โหลดมัลแวร์

Alex Lanstein ผู้อำนวยการอาวุโสจาก FireEye ออกมาแจ้งเตือนถึงแคมเปญสแปม Cisco Webex ซึ่งใช้การโจมตีแบบ Open Redirect หลอกเหยื่อที่เผลอกด “Join Meeting” ให้เปลี่ยนเส้นทางไปดาวน์โหลด Remote Access Trojan ซึ่งมีความแนบเนียนมากเนื่องจากเป็นการ Phishing ภายใต้โดเมน secure-web.cisco.com ของ Cisco เอง

การโจมตีแบบ Open Redirect คือการที่แฮ็กเกอร์ใช้ประโยชน์จากเว็บไซต์ทั่วไปในการสร้าง URL ภายใต้โดเมนของเว็บไซต์นั้นๆ แล้วเปลี่ยนเส้นทางของผู้เข้าชมไปยังไซต์อื่นตามที่ตนต้องการ ช่วยให้แฮ็กเกอร์สามารถใช้ URL ของเว็บไซต์ชื่อดังหรือที่มีความน่าเชื่อถือในการโจมตีแบบ Phishing หรือหลอกให้ดาวน์โหลดมัลแวร์ ยกตัวอย่างเช่น Google มี Open Redirect ที่ https://www.google.com/url?q=[URL] สำหรับส่งผู้เข้าชมไปไซต์ภายนอกซึ่งทุกคนสามารถใช้ได้ รวมไปถึงแฮ็กเกอร์ด้วยเช่นกัน

Lanstein ได้โพสต์บน Twitter ระบุว่าค้นพบแคมเปญสแปม Cisco Webex ที่ใช้จดหมายเชิญเข้าประชุมออนไลน์ปลอม ซึ่งแฝงไว้ด้วยการโจมตีแบบ Open Redirect ในการเปลี่ยนเส้นทางหลอกเหยื่อให้ไปดาวน์โหลด WarZone Remote Access Trojan โดยจดหมายเชิญนั้นมีลักษณะหน้าตาเหมือนจดหมายเชิญทั่วไปของ Cisco Webex จนแทบจะแยกไม่ออก

เมื่อเหยื่อเผลอกดปุ่ม “Join Meeting” เหยื่อจะถูกนำไปสู่หน้าจอของ Cisco Webex ซึ่งจะทำการดาวน์โหลด webex.exe มาให้เหยื่อติดตั้ง อย่างไรก็ตาม webex.exe ดังกล่าวไม่ใช่ Cisco Webex Client จริงๆ สำหรับใช้เข้าร่วมประชุมออนไลน์ แต่เป็น Remote Access Trojan ที่ถูกดาวน์โหลดมาจากไซต์ของแฮ็กเกอร์ เนื่องจากแฮ็กเกอร์ใช้การโจมตีแบบ Open Redirect บนโดเมน secure-web.cisco.com จึงเป็นไปได้ยากที่เหยื่อจะจับผิดการดาวน์โหลดมัลแวร์เข้ามา วิธีนี้จึงเป็นการแพร่กระจายมัลแวร์ที่ได้ผลเป็นอย่างมาก

ตัวอย่างเมื่อกดคลิก “Join Meeting” แล้วถูกเปลี่ยนเส้นทางมาดาวน์โหลดมัลแวร์

จากการตรวจสอบพบว่า WarZone Remote Access Trojan มีความสามารถตั้งแต่การดาวน์โหลดและรันซอฟต์แวร์ รันคำสั่ง ใช้เว็บแคมจากระยะไกล ลบไฟล์ เปิดใช้บริการ Remote Desktop และ VNC เพื่อเข้าถึงจากระยะไกล ไปจนถึงการเก็บข้อมูลจากแป้นพิมพ์และขโมยรหัสผ่าน Firefox/Chrome

สำหรับผู้ที่รู้ตัวแล้วว่าตกเป็นเหยื่อของแคมเปญสแปม Cisco Webex นี้ แนะนำให้ทำการสแกนไวรัสบนเครื่องโดยทันที และเปลี่ยนรหัสผ่านบนเว็บไซต์ทั้งหมดโดยเร็ว

ที่มา: https://www.bleepingcomputer.com/news/security/clever-webex-spam-use-cisco-redirect-to-deliver-rat-malware/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Infor WMS พร้อมพาธุรกิจรับมือความท้าทายด้าน Supply Chain ในปี 2020 ด้วยระบบ Intelligent Warehouse ครบวงจร

การแพร่ระบาดของ COVID-19 ที่ปั่นป่วน Supply Chain ไปทั่วโลกในปีนี้นั้นเป็นเหตุการณ์หนึ่งที่เน้นย้ำให้เห็นชัดถึงความสำคัญของการจัดการ Supply Chain ที่ดี เมื่อความผันผวนเป็นสิ่งที่ต้องเผชิญในทุกวัน การตัดสินใจที่รวดเร็วและเหมาะสมกับบริบทก็ย่อมสร้างข้อได้เปรียบให้กับธุรกิจ หนึ่งซอฟต์แวร์ที่สามารถตอบโจทย์ความรวดเร็วและการเปลี่ยนแปลงนี้ได้เป็นอย่างดีคือ Infor WMS ซึ่งเป็นซอฟต์แวร์จัดการคลังสินค้าอย่างครบวงจรที่พัฒนาขึ้นจากองค์ความรู้มากกว่า …

REvil Ransomware เปลี่ยนโมเดลเรียกค่าไถ่ ทำรายได้กว่า 3,000 ล้านบาทต่อปี

แฮ็กเกอร์ผู้พัฒนา REvil Ransomware ออกมาเปิดเผยว่า พวกเขาสามารถทำเงินได้มากถึง 3,000 ล้านบาทภายใน 1 ปี โดยเปลี่ยนแนวทางเรียกค่าไถ่ใหม่ จากการเข้ารหัสไฟล์ไปเป็นการขโมยไฟล์แล้วขู่เผยแพร่สู่สาธารณะ ส่งผลให้องค์กรขนาดใหญ่ตัดสินใจยอมจ่ายค่าไถ่มากขึ้น