Nos últimos três anos, um dos vetores mais populares de malware e outros tipos de código malicioso tem sido o simples anexo de e-mail. Mais especificamente, os anexos codificados na linguagem de marcação de hipertexto ou HTML tornaram-se uma forma cada vez mais popular de executar uma série de crimes cibernéticos diferentes (e cada vez mais sofisticados), incluindo fraude de identidade através de trojans de acesso remoto (RATs), ataques de ransomware e esquemas de phishing.
É preocupante que este não seja um incidente isolado ou algum tipo de ataque em massa de um agente de ameaça. Anexos HTML maliciosos agora parecem ser a escolha preferida de muitos hackers individuais em todo o mundo desde 2023.
Às vezes chamada de “contrabando de HTML” em casos mais sofisticados, onde a carga maliciosa está no próprio anexo HTML, essa técnica (embora conhecida há muito tempo e usada por vários criminosos cibernéticos ao longo dos anos) ganhou destaque por meio de uma campanha de spear-phishing por meio do ator de ameaças NOBELIUM.
Nos últimos anos, essa técnica tem sido usada para fornecer uma variedade de malwares notáveis, incluindo Mekotio (o infame Trojan bancário), Trickbot e AsyncRAT/NJRAT.
Com o aumento deste tipo de crime cibernético e uma em cada três residências nos EUA sendo infectadas com algum tipo de malware, é importante entender como funcionam os ataques maliciosos de anexos HTML (e contrabando de HTML) e como se proteger contra eles.
Por isso, criamos este guia sobre anexos HTML e contrabando de HTML, para que você tenha tranquilidade quando quiser acessar seus e-mails.
O que são anexos HTML maliciosos?
Anexos HTML maliciosos são um tipo de malware geralmente encontrado em e-mails na forma de anexos. Eles são ativados, principalmente, quando o usuário clica no anexo do arquivo HTML infectado.
Depois de aberto, o usuário é redirecionado por meio de bibliotecas JavaScript hospedadas externamente para o site de phishing do hacker (ou outra forma de conteúdo malicioso controlado pelo invasor, como uma página de login).
As formas mais conhecidas desse tipo de golpe de phishing HTML geralmente se parecem com uma janela pop-up da Microsoft. A janela solicitará ao usuário algum tipo de credencial pessoal/detalhes de login que permitirá baixar o anexo do arquivo HTML recebido no e-mail do hacker.
Uma vez inseridos, os dados do usuário são enviados ao hacker para exploração posterior, incluindo roubo financeiro, fraude de identidade e extorsão por meio de ransomware.
O que é contrabando de HTML?
O contrabando de HTML, conhecido como uma forma mais técnica de ataque de malware de anexo HTML, utiliza HTML 5 e JavaScript para permitir que um criminoso cibernético “contrabandeie” código malicioso para o computador da vítima por meio de um script criado exclusivamente, incorporado ao anexo HTML em si.
Quando a vítima do ataque abre o anexo HTML malicioso em seu navegador, ele decodifica o script incorporado, que monta a carga no próprio dispositivo de computação da vítima. Isso permite que o hacker crie o malware localmente, atrás do firewall da vítima.
Esse tipo de ataque aproveita o fato de que tanto HTML quanto JavaScript são algumas das partes mais comuns e importantes da computação confiável do dia a dia (no contexto de uso comercial e pessoal).
Como resultado, essa técnica pode ignorar softwares de controle de segurança padrão (como proxies da Web e gateways de e-mail) que verificam apenas assinaturas baseadas em tráfego ou tipos de anexos convencionalmente suspeitos, como .EXE, .ZIP ou .DOCX.
Como os arquivos maliciosos são criados depois que o arquivo é carregado por meio do navegador na máquina da vítima, as soluções de segurança padrão registrarão apenas tráfego benigno de HTML e JavaScript.
Além disso, técnicas cibercriminosas mais avançadas, como a “ofuscação”, permitem que os hackers ocultem com sucesso os seus scripts maliciosos de software de segurança mais avançado.
O contrabando de HTML funciona aproveitando o atributo “download” para tags âncora e o uso de JavaScript Blobs para montar a carga no dispositivo da vítima. Depois que o atributo “download” é clicado, ele permite que um arquivo HTML baixe automaticamente um arquivo malicioso referenciado na tag “href”.
Com o uso de JavaScript, um processo semelhante é executado: os Blobs JavaScript armazenam os dados codificados do arquivo malicioso, que são então decodificados quando passados para uma API JavaScript que espera uma URL. Isso significa que o arquivo malicioso é automaticamente baixado e construído localmente no dispositivo da vítima usando códigos JavaScript.
A CFR SOLUÇÕES INTELIGENTES, possui a melhor solução de E-mails Corporativos com AntiSpam modelado, configuramos de acordo com a necessidades da sua empresa e clientes.
Conteúdo improdutivo, perigoso, malicioso serão barrados.
Seus clientes, fornecedores e demais na sua lista de prioridades serão os únicos com alta disponibilidade nos envios e recebimentos.
Vamos agendar um bate-papo e mostraremos nossa solução.
Faça um teste de 15 dias gratuito.
Para mais informações e agendamento de horário para atendimento, chamar: 11 56233187
Commenti