ИБ-специалист Алекс Ланштейн (Alex Lanstein) обнаружил оригинальный вектор для распространения RAT-трояна. Киберпреступники доставляют зловред, перенаправляя жертву через открытый редирект с сайта Cisco на зараженную страницу, где размещен фальшивый клиент WebEx — ПО для онлайн-конференций.

Вредоносные письма маскируются под приглашение WebEx

Атака начинается с письма, содержащего приглашение на WebEx-конференцию. В качестве отправителя указан официальный сайт системы, а внешний вид сообщения соответствует легитимным образцам. В тексте размещена ссылка, по которой жертва якобы может присоединиться к беседе.

Киберпреступники используют механизм открытого редиректа, который позволяет отправить посетителя на сторонний ресурс через легитимный сайт. Несмотря на то, что ссылка из фальшивого приглашения включает в себя официальный домен Cisco, в действительности она открывает страницу злоумышленников. Жертве предлагают скачать файл webex.exe, якобы необходимый для начала конференции, однако вместо утилиты на компьютер попадает троян WarZone, который способен:

  • загружать, удалять и запускать файлы;
  • перехватывать ввод с клавиатуры;
  • активировать службы удаленного доступа к машине;
  • дистанционно управлять видеокамерой;
  • похищать сохраненные пароли из Firefox и Chrome.

Специалисты не смогли точно определить принадлежность бэкдора к тому или иному семейству. Некоторые сервисы определяют его как WarZone, другие идентифицируют как троян AveMariaRAT. Программа внедряется в системный процесс MusNotificationUx, который отвечает за всплывающие уведомления о доступных обновлениях Windows. Вредонос также создает ярлык в списке автозапуска, чтобы продолжить работу после перезагрузки компьютера.

Согласно статистике, собранной специалистами Spamhaus, в III квартале этого года зловред AveMariaRAT занял предпоследнее место в топ-20 троянов по количеству командных серверов — на его счету 19 центров управления. Наибольшее число ресурсов у ботнета Lokibot, авторы которого держат 898 криминальных сетевых узлов.

Категории: Вредоносные программы, Мошенничество