ADPT

เตือนสแปม Cisco Webex หลอกเปลี่ยนเส้นทางเหยื่อไปดาวน์โหลดมัลแวร์

Alex Lanstein ผู้อำนวยการอาวุโสจาก FireEye ออกมาแจ้งเตือนถึงแคมเปญสแปม Cisco Webex ซึ่งใช้การโจมตีแบบ Open Redirect หลอกเหยื่อที่เผลอกด “Join Meeting” ให้เปลี่ยนเส้นทางไปดาวน์โหลด Remote Access Trojan ซึ่งมีความแนบเนียนมากเนื่องจากเป็นการ Phishing ภายใต้โดเมน secure-web.cisco.com ของ Cisco เอง

การโจมตีแบบ Open Redirect คือการที่แฮ็กเกอร์ใช้ประโยชน์จากเว็บไซต์ทั่วไปในการสร้าง URL ภายใต้โดเมนของเว็บไซต์นั้นๆ แล้วเปลี่ยนเส้นทางของผู้เข้าชมไปยังไซต์อื่นตามที่ตนต้องการ ช่วยให้แฮ็กเกอร์สามารถใช้ URL ของเว็บไซต์ชื่อดังหรือที่มีความน่าเชื่อถือในการโจมตีแบบ Phishing หรือหลอกให้ดาวน์โหลดมัลแวร์ ยกตัวอย่างเช่น Google มี Open Redirect ที่ https://www.google.com/url?q=[URL] สำหรับส่งผู้เข้าชมไปไซต์ภายนอกซึ่งทุกคนสามารถใช้ได้ รวมไปถึงแฮ็กเกอร์ด้วยเช่นกัน

Lanstein ได้โพสต์บน Twitter ระบุว่าค้นพบแคมเปญสแปม Cisco Webex ที่ใช้จดหมายเชิญเข้าประชุมออนไลน์ปลอม ซึ่งแฝงไว้ด้วยการโจมตีแบบ Open Redirect ในการเปลี่ยนเส้นทางหลอกเหยื่อให้ไปดาวน์โหลด WarZone Remote Access Trojan โดยจดหมายเชิญนั้นมีลักษณะหน้าตาเหมือนจดหมายเชิญทั่วไปของ Cisco Webex จนแทบจะแยกไม่ออก

เมื่อเหยื่อเผลอกดปุ่ม “Join Meeting” เหยื่อจะถูกนำไปสู่หน้าจอของ Cisco Webex ซึ่งจะทำการดาวน์โหลด webex.exe มาให้เหยื่อติดตั้ง อย่างไรก็ตาม webex.exe ดังกล่าวไม่ใช่ Cisco Webex Client จริงๆ สำหรับใช้เข้าร่วมประชุมออนไลน์ แต่เป็น Remote Access Trojan ที่ถูกดาวน์โหลดมาจากไซต์ของแฮ็กเกอร์ เนื่องจากแฮ็กเกอร์ใช้การโจมตีแบบ Open Redirect บนโดเมน secure-web.cisco.com จึงเป็นไปได้ยากที่เหยื่อจะจับผิดการดาวน์โหลดมัลแวร์เข้ามา วิธีนี้จึงเป็นการแพร่กระจายมัลแวร์ที่ได้ผลเป็นอย่างมาก

ตัวอย่างเมื่อกดคลิก “Join Meeting” แล้วถูกเปลี่ยนเส้นทางมาดาวน์โหลดมัลแวร์

จากการตรวจสอบพบว่า WarZone Remote Access Trojan มีความสามารถตั้งแต่การดาวน์โหลดและรันซอฟต์แวร์ รันคำสั่ง ใช้เว็บแคมจากระยะไกล ลบไฟล์ เปิดใช้บริการ Remote Desktop และ VNC เพื่อเข้าถึงจากระยะไกล ไปจนถึงการเก็บข้อมูลจากแป้นพิมพ์และขโมยรหัสผ่าน Firefox/Chrome

สำหรับผู้ที่รู้ตัวแล้วว่าตกเป็นเหยื่อของแคมเปญสแปม Cisco Webex นี้ แนะนำให้ทำการสแกนไวรัสบนเครื่องโดยทันที และเปลี่ยนรหัสผ่านบนเว็บไซต์ทั้งหมดโดยเร็ว

ที่มา: https://www.bleepingcomputer.com/news/security/clever-webex-spam-use-cisco-redirect-to-deliver-rat-malware/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

เชิญร่วมงานสัมมนา How to Improve Home Wi-Fi Security | 30 ก.ย. หรือ 7 ต.ค. 11:00 น.

TP-Link ขอเชิญผู้บริหารและผู้ปฏิบัติงานด้านเครือข่าย เข้าร่วมงานสัมมนาออนไลน์ “How to Improve Home Wi-Fi Security by TP-Link” เพื่อเรียนรู้แนวทางการเพิ่มความมั่นคงปลอดภัยให้แก่ระบบเครือข่าย ในวันพฤหัสบดีที่ 30 กันยายน หรือ 7 …

[Guest Post] MSI เปิดตัวกลุ่มผลิตภัณฑ์ใหม่ ที่สุดแห่งประสบการณ์ เอาใจไลฟ์สไตล์ผู้ใช้งาน ยุคนิวนอมอล

MSI ผู้นำด้านฮาร์ดแวร์และนวัตกรรมคอมพิวเตอร์ชั้นนำระดับโลก เร่งรุกตลาด เดินหน้าเปิดตัวผลิตภัณฑ์ใหม่แบบเต็มสูบ ทั้ง มินิเดสก์ท็อปทรงพลังขนาดกะทัดรัด คอมพิวเตอร์ออล-อิน-วัน ที่ขับเคลื่อนด้วยหน่วยประมวลผลตัวใหม่ล่าสุดจาก Intel® 11th Gen รวมถึงจอมอนิเตอร์เพื่อสุขภาพที่สามารถปรับระดับหน้าจอ และมาพร้อมกับเทคโนโลยีถนอมสายตา เล็งตอบโจทย์ไลฟ์สไตล์และการใช้งานที่เปลี่ยนแปลงไป จากสถานการณ์การแพร่ระบาดของไวรัส …