Tumisu от Pixabay

Масирани атаки към потребители на Zoom и WebEx с кражба на профили

Приложенията за видеоконференции като Zoom и Cisco WebEx са били атакувани от кибер престъпници

от Владимир Владков

21 април 2020 16:23

Приложенията за видеоконференции като Zoom и Cisco WebEx са били атакувани от кибер престъпници, опитващи се откраднат личните данни на потребителите

Потребителите на популярни видеоконферентни услуги като Zoom и Cisco WebEx трябва много да внимават за фишинг атаки, които се опитват да откраднат техните пароли за услугите. Това посочва фирмата за анализи на сигурността Proofpoint.

Най-новата вълна от подобни кибер атаки очаквано се фокусира върху пандемията Covid-19, заради която милиони хора работят от дома си.

Анализаторският екип от Proofpoint заявява: "Видеоконференциите много бързо станаха популярни. Нападателите са забелязали това и побързаха да се възползват от тази популярност. Нападателите не само използват маркови видеоконференции като примамка за злонамерен софтуер, но и ги използват за фишинг на данни за профилите, по-специално за кражбата на идентификационни данни за Zoom и WebEx."

"Това води до увеличаване на компрометираните профили за видеоконференции. Откраднатите идентификационни данни на профила могат да бъдат използвани за влизане в корпоративни профили за видеоконферентни връзки и нарушаване на поверителността. Те могат да бъдат продадени и на черния пазар или използвани за получаване на допълнителна информация за потенциални мишени и организиране на допълнителни атаки", добавят специалистите.

Атаките за кражба на идентификации не зависят от уязвимости нито в Zoom, нито в WebEx, а по-скоро използват имената и бранда на тези популярни услуги като теми в примамките на провеждания социален инженеринг, примамвайки жертвите да въвеждат паролите си на фалшив уебсайт, например за отстраняване на проблем с видеото или за получаване на надграждания.

Наблюдавани са варианти и на двете атаки, насочени към счетоводни фирми, компании от авиокосмическата индустрия, енергетиката, правителствени ведомства, организации от здравеопазването, производството, технологиите, телекомуникациите и транспорта.

Атаките към WebEx като че ли идва от администраторски е-пощи, които на пръв поглед биха могли да бъдат легитимни Cisco адреси, а обикновено имат заглавия като "Критична актуализация", "Предупреждение!" или "Достъпът до акаунта ви ще бъде ограничен". Фалшивото писмо обяснява, че жертвите трябва да надградят своите WebEx клиенти, за да поправят уязвимост в Docker Engine Configuration в Cisco CloudCenter Orchestrator. Точно тази истинска уязвимост (CVE-2016-9923) бе разкрита преди доста време и бе поправена с кръпка още през декември 2016 г. Ако жертвите кликнат на линка, те биват пренасочвани към фалшив уебсайт, който им иска име и парола за профила в WebEx.

Атаките срещу Zoom са насочени към подобни сектори и са под формата на приветствие, опитвайки се да накарат жертвите да кликнат върху връзка, за да активират новия си профил за Zoom. Връзката се пренасочва към страница за масова уеб поща, на която те трябва да въведат своите идентификационни данни. Втори вариант на тази примамка твърди, че получателят е пропуснал срещата си в Zoom и включва връзка, която могат да използват за "проверка на пропуснатата конференция". Почти излишно е да споменаваме, че връзката не прави нищо подобно.

От компанията наблюдават още една особено опасна кампания, насочена към потребителите на Zoom, като са атакувани фирми от сектора на строителството, енергетиката, производството, маркетинга и технологиите. При тази кампания се използват подобни примамки, свързани със Zoom, но в действителност се разпространяват троянски коне за отдалечен достъп ServLoader / NetSupport. Ако бъдат активирани, тези злонамерени изпълними файлове ще имат достъп до файлове и информация в системата на жертвата.

Снимка на Tumisu от Pixabay