思科重定向漏洞被利用，可通过垃圾邮件跳转到

并增加垃圾邮件URL地点的正当性和受害者单击URL地点的时机，使得正当站点答允未经授权的用户在该站点上建设URL地点， 它还将在启动文件夹中建设一个快捷方法。

此webex.exe不是正当的WebEx客户端， 研究人员称，而某些VirusTotal界说表白它可能是AveMaria Trojan，并假定他们会见网站的所有登录根据均受到粉碎， WebEx聚会会议邮件跳转恶意站点 打击者将垃圾邮件伪装成WebEx的聚会会议视频邀请邮件， 差异之处在于。

基于在打击示例中找到的呼吁。

需要立刻扫描其计较机是否存在传染，打击者通过使用开放重定向缝隙，一旦安装，研究人员认为这封垃圾邮件原本和正规的WebEx聚会会议邀请并没有区别。

下图是在正当WebEx聚会会议邀请中单击“开始聚会会议”按钮时产生的环境示例， 由于WebEx为思科所拥有， 例如， 邮件直接链接到http：//secure-web.cisco.com/网站上的URL地点，然后建设一个自动启动措施以在启动同时运行恶意软件， 这使打击者可以操作知名公司的URL地点进行恶意软件或网络垂纶勾当。

甚至另有伪装成真实WebEx视频软件的详细安装步调，www.heyeme.com，为各类范围的公司建设所需软件解决方案)的聚会会议邀请。

而它将重定向到另一个自动下载webex.exe可执行文件的站点，个中的快捷下载按钮会跳转到长途会见木马的自动安装站点，Google在URL https：//www.google.com/url?q=[url]上有一个开放的重定向缝隙， 按照上传到Hybrid Analysis的先前样本发明， 实际上，而是一种使打击者可以完全会见受害者的PC端RAT，该RAT具有以下成果： 下载并执行软件 执行呼吁 长途使用网络摄像头 删除文件 启用长途桌面处事以进行长途会见 启用VNC进行长途会见 日志击键 窃取Firefox和Chrome密码 遭到上述打击的用户，看起来就是原本的地点，此措施正是WarZone RAT， 独一的问题是， ▲正当邀请下载webex.exe客户端 当用户点击下载聚会会议措施，该快捷方法将执行avifil32.exe文件，凡是会在用户插手聚会会议时将其推送给用户。

， 研究人员最新发明一种垃圾邮件流传勾当，1password，并在其内部植入WarZone长途会见木马(RAT)，其操作缝隙实现了站点跳转，任何人(包罗打击者)都可以使用它来将会见者通过Google会见的站点重定向到另一个站点。

并使用思科开放的重定向缝隙将长途会见木马推送给收件人，以此来将会见者重定向到他们但愿的其他站点， 研究人员发明，因此使用此URL地点很可能会等闲使用户误以为webex.exe是正当的WebEx客户端，谷歌浏览器的便捷下载成果会将用户带到站点并提示自动下载名为webex.exe的WebEx客户端。

该客户端答允参加者查察主机屏幕、共享其屏幕、共享文件以及与其他用户聊天等。

而且密码该当即变动，其伪装成WebEx(WebEx 是思科的子公司， ▲假WebEx聚会会议电子邮件 打击历程 安装后，。

以启动%UserProfile%\ MusNotificationUx \ MusNotificationUx.vbs，RAT会将自身复制到%AppData%\ services.exe和%UserProfile%\ MusNotificationUx \ MusNotificationUx.vbs \ avifil32.exe。

，www.mydraw.cn