Методы контрабанды HTML все чаще используются злоумышленниками в фишинговых кампаниях как средство получения первоначального доступа и развертывания ряда угроз, включая, помимо прочего, банковские вредоносные программы, трояны удаленного администрирования (RAT) и полезные нагрузки программ-вымогателей.
Команда Microsoft 365 Defender Threat Intelligence опубликовала в четверг новый отчет, в котором говорится, что они обнаружили банковского трояна Mekotio, который в настоящее время распространяется.АсинкРАТ,nnJCбэкдоры и проникновение пресловутого вредоносного ПО TrickBot. В июле 2021 года Menlo Security также публично задокументировала это предполагаемоеISOMorphмногоэтапная атака.
Контрабанда HTML — это метод, который позволяет злоумышленнику «переправить» дроппер первого этапа на компьютер жертвы, используя базовые функции HTML5 и JavaScript, а не используя уязвимости или недостатки дизайна в современных веб-браузерах. Обычно это метод атаки, встраивающий вредоносные скрипты. в тщательно созданных HTML-вложениях или на веб-страницах.
Таким образом, злоумышленники могут использовать JavaScript для программного создания полезных данных на страницах HTML без выполнения HTTP-запросов для получения ресурсов на веб-сервере, а также могут обойти блокировку некоторых продуктов безопасности.
«Когда жертва открывает HTML-код в своем веб-браузере, браузер автоматически анализирует вредоносный скрипт, который, в свою очередь, собирает полезную нагрузку на хост-устройстве», — говорят исследователи.объяснять. «Поэтому вместо того, чтобы позволить вредоносному исполняемому файлу пройти непосредственно по сети, злоумышленник создает вредоносное ПО локально за брандмауэром».
«Когда жертва открывает HTML-код в своем веб-браузере, браузер автоматически анализирует вредоносный сценарий, тем самым запуская полезную нагрузку на устройство жертвы», — говорят исследователи.
Таким образом, вместо того, чтобы вредоносный исполняемый файл напрямую атаковал цель через сеть, злоумышленник может атаковать цель, создав вредоносное ПО локально за брандмауэром.
Microsoft отмечает, что способность HTTP-контрабанды обходить веб-прокси и шлюзы электронной почты делает его эффективным методом для многих «национальных отрядов» и групп киберпреступников по распространению вредоносного ПО в ходе реальных атак.
Ранее в мае этого года организация заявила, что цепочка поставок SolarWindsхакерВыяснилось, что стоящая за этим группа угроз Nobelium использует этот необычный метод атаки для атак на правительственные учреждения, аналитические центры, консультантов и неправительственные организации в 24 странах, включая США.
Помимо шпионажа, контрабанда HTML часто используется при атаках банковских вредоносных программ с использованием трояна Mekotio, когда злоумышленники рассылают спам-сообщения, содержащие вредоносные ссылки, которые при нажатии жертвой вызывают загрузку ZIP-файла, который, в свою очередь, содержит файл JavaScript. загрузчик, который извлекает двоичные файлы, способные к краже учетных данных и кейлоггеру.
Но есть также признаки того, что некоторые другие субъекты включают контрабанду HTML в свой арсенал. вложение открывается в веб-браузере, в системе получателя создается защищенный паролем файл JavaScript, предлагающий жертве ввести пароль из исходного HTML-вложения.
При этом инициируется выполнение кода JavaScript, который впоследствии запускает команду PowerShell в кодировке Base64, которая связывается с сервером, контролируемым злоумышленником, а затем загружает вредоносное ПО TrickBot, что в конечном итоге открывает путь для последующей атаки программы-вымогателя.
«Всплеск атак с использованием методов контрабанды HTML в кампаниях по электронной почте является примером того, как злоумышленники продолжают совершенствовать свои методы атак для достижения уклончивых эффектов», — отметили в Microsoft. "Эта модель атаки показывает, как тактика, методы и процедуры (TTP) внедряются бандами киберпреступников в APT-атаки. Кроме того, это укрепляет экономику черного рынка, где TTP, считающиеся эффективной технологией, будут коммерциализированы".
Оригинал статьи, автор: CNCSO, при перепечатке укажите источник: https://cncso.com/ru/html-smuggling-is-frequency-used-by-hackers-in-malware-and-phishing-attacks.html