攻击者伪装成思科的“关键更新”电子邮件进行网络钓鱼攻击

伪装成思科“关键安全咨询”的电子邮件实际上是网络钓鱼活动的一部分，旨在窃取受害者的WebEx凭据。

日前，有一个网络钓鱼活动通过回收的思科安全公告来警告思科用户，称用户使用的思科系统有严重的漏洞存在，并敦促用户进行所谓的“更新”，而其实质则是窃取受害者用于Cisco WebEx Web会议平台的凭据。

这个钓鱼活动是打算利用当前远程工作的浪潮来进行。受冠状病毒肆虐的影响，远程工作的劳动者已经开始依赖WebEx等在线会议工具（以及Zoom和其他平台）进行日常办公。随着在线会议数量的迅速增加，受损的WebEx凭据就很可能成为网络犯罪分子在共享敏感文件和数据（以及其他恶意活动）时进入网络电话会议的金钥匙。

在周四发出的分析中，Ashley Tran与Cofense的钓鱼防御中心表示：

瞄准的电话会议品牌的用户并不是什么新鲜事，但是，由于大多数组织都遵循非必要工作人员居家办公的准则，远程工作人员的迅速涌入对于试图欺骗WebEx这样的品牌的攻击者来说是首选。我们预计在未来的几个月中，针对远程工作者的网络钓鱼事件将继续增加。

研究人员表示，网络钓鱼电子邮件的发送主题带有各种吸引人的主题，例如“关键更新”或“警告！”等等，并且其发信地址是一个仿冒的不真实地址“meetings@WebEx[.]com”。

研究人员还表示，这是一次大规模的“无差别扫射”的网络钓鱼活动，“大量终端用户”接收并报告了来自多个行业的电子邮件，其中也包括医疗保健和金融领域。

Tran提到：

钓鱼者采用将主题和邮件内容结合在一起的方式，这样可以引起用户的好奇心，诱使他们点击，并执行邮件要求的操作。

电子邮件的正文嵌入了自2016年12月起发布的真实的思科安全警告的内容，也嵌入了真实的Cisco WebEx品牌。该通报适用于CVE-2016-9223，它是CloudCenter Orchestrator Docker Engine中的一个合法漏洞，它是Cisco的管理工具，适用于多个数据中心、私有云和公共云环境中的应用程序。这一严重漏洞使未经身份验证的远程攻击者可以在受影响的系统上以高特权安装Docker容器。在2016年披露之时，它就已经被野蛮利用了。但是，该漏洞已在Cisco CloudCenter Orchestrator 4.6.2补丁程序版本（也在2016年）中得到了修复。

Confense的研究人员说：

在这种情况下，钓鱼者伪装成合法的商业服务，并解释了其软件的问题，甚至促使非技术读者进一步阅读。钓鱼者甚至链接到该漏洞的合法文章，嵌入在文本CVE-2016-9223中的URL中。

该电子邮件告诉受害者，“要解决此错误，我们建议您更新Windows版Cisco Meetings Desktop App的版本”，并将他们指向“加入”按钮以了解有关“更新”的更多信息。

该活动背后的攻击者似乎在细节上一丝不苟，甚至连链接到“加入”按钮的URL也保持细节的严谨。如果一个很谨慎的电子邮件收件人将鼠标悬停在该按钮上来检查URL，他们会发现这个仿冒的URL[hxxps://globalpagee-prod-WebEx[.]com/signin]与合法的Cisco WebEx URL[hxxps://globalpage-prod[.]WebEx[.]com/signin]高度相似。

引导页

单击“加入”按钮的受害者将被重定向到网络钓鱼登录页面，该页面与合法的Cisco WebEx登录页面相同。研究人员说，一个微小的区别是：当在合法的WebEx页面中键入电子邮件地址时，系统将检查条目以验证其是否有关联的帐户；与其相对应的，在网络钓鱼页面上，任何电子邮件格式条目都将收件人直接带到下一页以请求其密码。

钓鱼者在发送网络钓鱼电子邮件前几天就通过公共域注册表注册了与登录页面相关的欺诈域。研究人员说，截至周三，欺诈领域仍然活跃。

研究人员说：

攻击者甚至已经为自己的欺诈域获得SSL证书，从而获得了终端用户的进一步信任。虽然官方的Cisco证书已通过Hydrant ID验证，但攻击者的证书是通过Sectigo Limited进行的。无论是谁验证了攻击者的证书，结果都是相同的：锁定在其URL的左侧，这使电子邮件具有合法性，可吸引许多用户的注意。

研究人员警告用户，需要继续当心欺骗者的存在，他们会欺骗网络会议和虚拟协作应用程序。通常，攻击者利用人们对冠状病毒的恐慌，在钓鱼电子邮件中提到经济救助信息、病毒治愈方法、以及病毒症状等细节信息。

参考及来源：https://threatpost.com/cisco-critical-update-phishing-webex/154585/