WebEx en campaña de Phishing
Webex, es el software de conferencias web de CISCO.
¿Como funciona esta campaña? Cuando un usuario completa una búsqueda del software en Google, se
encuentra con un anuncio aparentemente real que se está utilizando para distribuir malware, específicamente
la amenaza de malware de primera etapa BatLoader.
BatLoader inicia una cadena de infección de múltiples etapas utilizando binarios de Windows de los que se
abusa comúnmente para descargar y ejecutar más cargas útiles.
Los actores de amenazas se dirigen a usuarios corporativos que están interesados en descargar Webex,
comprando espacio publicitario de Google y haciéndose pasar por Cisco.
Google afirma que:
Las URL de sus anuncios deben brindar a los clientes una idea clara de a qué página llegarán cuando hagan clic en un anuncio. Por este motivo, la política de Google es que tanto la URL visible como la de la página de destino deben estar dentro del mismo sitio web. La URL visible de cualquier anuncio debe coincidir con el dominio al que llegan los visitantes cuando hacen clic en el anuncio.
Malwarebytes Labs realizo un seguimiento sobre la URL donde redirige a un sitio web personalizado por el atacante en monoo3at[.]com.
BatLoader se cataloga como un cargador de malware sigiloso como podemos observar en el ejemplo con Virustotal. está diseñado para evitar la detección de los productos antivirus. Si bien VirusTotal no pretende reemplazar un producto de seguridad, generalmente proporciona información útil y las personas suelen utilizarlo para comprobar si un archivo está limpio.
Extrayendo el contenido del instalados se pueden ver muchas carpetas diferentes, así como cientos de archivos y bibliotecas. Pero Aquí es donde un tipo diferente de producto de seguridad, como un EDR, puede mostrar lo que está sucediendo.
Recomendaciones
- Verificar desde un inicio que el URL del sitio web que se quiera visitar sea el correcto
- También se recomienda una solución más completa, como detección y respuesta de endpoints (EDR), junto con un servicio MDR donde analistas revisen las actividades sospechosas realizadas por los malware
Cloaking infrastructure
- monoo3at[.]com
- 206.71.149[.]46
Decoy site
- webexadvertisingoffer[.]com
- 31.31.196[.]208
BatLoader
- fugas[.]site/debug/Installer90.2.msi
- 2727a418f31e8c0841f8c3e79455067798a1c11c2b83b5c74d2de4fb3476b654
BatLoader C2
- updatecorporatenetworks[.]ru
- 91.199.147[.]226
DanaBot
- 7a1245584c0a12186aa7228c75a319ca7f57e7b0db55c1bd9b8d7f9b397bfac8
Referencias
- https://www.darkreading.com/endpoint/cybercriminals-webex-brand-corporate-users
- https://www.malwarebytes.com/blog/threat-intelligence/2023/09/ongoing-webex-malvertising-drops-batloader
- https://www.techzine.eu/news/security/111324/sponsored-webex-search-result-is-the-source-of-malware-infection/
