思科重定向漏洞被利用，可通过垃圾邮件跳转到恶意软件下载站点

研究人员称，冲击者经由使用开放重定向破绽，使得正当站点许可未经授权的用户在该站点上建立URL地址，以此来将接见者重定向到他们进展的其他站点。 [转载出处：www.ii77.com]

这使冲击者能够行使知名公司的URL地址进行恶意软件或收集垂纶运动，并增加垃圾邮件URL地址的正当性和受害者单击URL地址的机会。

研究人员发现，Google在URL https://www.google.com/url?q=[url]上有一个开放的重定向破绽，任何人（包罗冲击者）都能够使用它来将接见者经由Google接见的站点重定向到另一个站点。

WebEx会议邮件跳转恶意站点

冲击者将垃圾邮件伪装成WebEx的会议视频邀请邮件，并在其内部植入WarZone长途接见木马（RAT）。

实际上，研究人员认为这封垃圾邮件原本和正规的WebEx会议邀请并没有区别，甚至还有伪装成真实WebEx视频软件的具体安装步伐。

分歧之处在于，其行使破绽实现了站点跳转。

邮件直接链接到http://secure-web.cisco.com/网站上的URL地址，看起来就是原本的地址，而它将重定向到另一个主动下载webex.exe可执行文件的站点。

例如，下图是在正当WebEx会议邀请中单击“起头会议”按钮时发生的情形示例。谷歌浏览器的便捷下载功能会将用户带到站点并提醒主动下载名为webex.exe的WebEx客户端。

当用户点击下载会议法式，个中的快捷下载按钮会跳转到长途接见木马的主动安装站点。一旦安装，该客户端许可介入者查察主机屏幕、共享其屏幕、共享文件以及与其他用户聊天等。

因为WebEx为思科所拥有，是以使用此URL地址很或者会随意使用户误认为webex.exe是正当的WebEx客户端，平日会在用户到场会议时将其推送给用户。

独一的问题是，此webex.exe不是正当的WebEx客户端，而是一种使冲击者能够完全接见受害者的PC端RAT。

▲假WebEx会议电子邮件

冲击过程

安装后，RAT会将自身复制到％AppData％\ services.exe和％UserProfile％\ MusNotificationUx \ MusNotificationUx.vbs \ avifil32.exe，然后建立一个主动启动法式以在启动同时运行恶意软件。

它还将在启动文件夹中建立一个快捷体式，以启动％UserProfile％\ MusNotificationUx \ MusNotificationUx.vbs，该快捷体式将执行avifil32.exe文件。

凭据上传到Hybrid Analysis的先前样本发现，此法式恰是WarZone RAT，而某些VirusTotal界说表明它或者是AveMaria Trojan。

基于在冲击示例中找到的号令，该RAT具有以下功能：

下载并执行软件

执行号令

长途使用收集摄像头

删除文件

启用长途桌面办事以进行长途接见

启用VNC进行长途接见

日志击键

窃取Firefox和Chrome暗码

遭到上述冲击的用户，需要马上扫描其较量机是否存在传染，并假定他们接见网站的所有登录凭证均受到损坏，而且暗码应立刻更改。

参考链接：bleepingcomputer