HTML-Schmuggeltechniken werden von Angreifern zunehmend in Phishing-Kampagnen eingesetzt, um sich einen ersten Zugang zu verschaffen und eine Reihe von Bedrohungen wie Banking-Malware, RATs (Remote Administration Trojans) und Ransomware-Payloads einzuschleusen, ohne darauf beschränkt zu sein.
Das Threat Intelligence-Team von Microsoft 365 Defender hat am Donnerstag einen neuen Bericht veröffentlicht, in dem es behauptet, den Banking-Trojaner Mekotio entdeckt zu haben, der sich derzeit verbreitet,AsyncRATundNjRATund andere Hintertüren sowie die Infiltration der berüchtigten TrickBot-Malware.2021 Im Juli 2021 dokumentierte Menlo Security ebenfalls öffentlich die Infiltration dieser Malware namensISOMorpheines mehrstufigen Angriffs.
HTML-Smuggling ist eine Methode, die es einem Angreifer ermöglicht, die erste Phase eines Drops auf den Rechner eines Opfers zu "schmuggeln", indem er grundlegende Funktionen in HTML5 und JavaScript ausnutzt, anstatt Schwachstellen oder Designfehler in modernen Webbrowsern auszunutzen, in der Regel durch die Einbettung bösartiger Skripts in sorgfältig gestaltete HTML-Anhängen oder Webseiten.
Auf diese Weise kann ein Angreifer JavaScript verwenden, um programmgesteuert eine Nutzlast auf einer HTML-Seite zu erstellen und Ressourcen auf dem Webserver abzurufen, ohne eine HTTP-Anfrage zu stellen, und dabei auch einige Sicherheitsproduktsperren zu umgehen.
"Wenn ein Opfer HTML in seinem Webbrowser öffnet, parst der Browser automatisch das bösartige Skript, das wiederum die Nutzlast auf dem Host-Gerät zusammensetzt", so die Forscher.überreden. "Anstatt also zuzulassen, dass bösartige ausführbare Dateien direkt über das Netzwerk übertragen werden, erstellen die Angreifer Malware lokal hinter der Firewall.
Wenn ein Opfer die HTML-Datei in seinem Webbrowser öffnet, analysiert der Browser automatisch das bösartige Skript, das die Nutzlast auf dem Gerät des Opfers ausführt", so die Forscher.
Anstatt also zuzulassen, dass die bösartige ausführbare Datei das Ziel direkt über das Netzwerk angreift, greift der Angreifer das Ziel an, indem er die Malware lokal hinter der Firewall erstellt.
Microsoft weist darauf hin, dass die Fähigkeit von HTTP, Web-Proxys und E-Mail-Gateways zu umgehen, es zu einer äußerst effektiven Methode zur Verbreitung von Malware bei realen Angriffen durch eine Reihe von "staatlichen Teams" und Cybercrime-Gruppen macht.
Anfang Mai dieses Jahres behaupteten Organisationen, dass die Lieferkette von SolarWindsHacker (Informatik) (Lehnwort)Es wurde festgestellt, dass die dahinter stehende Bedrohungsgruppe Nobelium diesen außergewöhnlichen Angriff nutzt, um Regierungsbehörden, Denkfabriken, Berater und Nichtregierungsorganisationen in 24 Ländern, darunter auch die Vereinigten Staaten, anzugreifen.
Neben Spionage wird HTML-Schmuggel auch häufig bei Banking-Malware-Angriffen mit dem Mekotio-Trojaner eingesetzt, bei denen Angreifer Spam-E-Mails mit einem bösartigen Link versenden, der, wenn das Opfer darauf klickt, den Download einer ZIP-Datei auslöst, die wiederum einen JavaScript-Dateidownloader enthält, der Binärdateien abruft, die zum Diebstahl von Anmeldedaten und Keylogging geeignet sind.
Es gibt jedoch Anzeichen dafür, dass einige andere Akteure HTML-Schmuggel in ihr Arsenal aufnehmen, und bei einer von DEV-0193 im September gestarteten E-Mail-Kampagne wurde festgestellt, dass sie dieselben Methoden zur Verbreitung von TrickBot nutzt. JavaScript-Datei erstellt, die das Opfer auffordert, das Passwort aus dem ursprünglichen HTML-Anhang einzugeben.
Dadurch wird die Ausführung des JavaScript-Codes initiiert, der anschließend Base64-kodierte PowerShell-Befehle auslöst, die mit einem vom Angreifer kontrollierten Server kommunizieren, der dann die TrickBot-Malware herunterlädt und letztlich den Weg für nachfolgende Ransomware-Angriffe ebnet.
"Die Zunahme von E-Mail-Kampagnen mit HTML-Schmuggel-Angriffen ist ein Beispiel dafür, wie Angreifer ihre Angriffe immer weiter verbessern, um eine Umgehung zu erreichen", so Microsoft. "Diese Art von Angriffen zeigt, wie Taktiken, Techniken und Verfahren (TTP) in APT-Angriffe von Cyberkriminellen eingedrungen sind und die Schwarzmarktökonomie verstärken, in der TTP zu einer Massenware wird, wenn sie als effektive Technik angesehen wird.
Originalartikel von CNCSO, bei Vervielfältigung bitte die Quelle angeben: https://cncso.com/de/html-smuggling-is-frequently-used-by-hackers-in-malware-and-phishing-attacks.html