Microsoft предупреждает о всплеске фишинговых атак с использованием HTML smuggling - Новости

Компания Microsoft отмечает рост числа кампаний вредоносных программ, использующих HTML smuggling для распространения банковских вредоносных программ и троянов удаленного доступа (RAT).

Хотя HTML smuggling не является новой техникой, Microsoft наблюдает, что она все чаще используется субъектами угроз для уклонения от обнаружения, включая хакерскую группу Nobelium, стоящую за атаками SolarWinds.

Как работает HTML smuggling

HTML smuggling - это техника, используемая в фишинговых кампаниях, которые используют HTML5 и JavaScript для сокрытия вредоносных полезных данных в закодированных строках во вложении HTML или на веб-странице. Эти строки затем декодируются браузером, когда пользователь открывает вложение или нажимает на ссылку.

Например, фишинговое HTML - вложение может содержать безобидную ссылку на известный веб-сайт и, таким образом, не восприниматься как вредоносное. Однако, когда пользователь нажимает на ссылку, JavaScript декодирует включенную зашифрованную или закодированную строку и преобразует ее во вредоносное вложение, которое загружается вместо нее, как показано в приведенном ниже коде.

Когда пользователь нажимает на ссылку, файл 'evil.doc' будет сохранен на устройстве и назван 'innocent.doc'.

При работе с Javascript загружаемый файл может быть создан с помощью Javascript Blob. Blob - это представление необработанных данных, которые могут быть переданы API Javascript, ожидающему URL. Таким образом, вместо предоставления URL-ссылки на файл, который необходимо загрузить, его можно создать из blob в самом Javascript.

Поскольку вредоносная полезная нагрузка закодирована изначально, она выглядит безобидной для программ безопасности и не обнаруживается как вредоносная. Более того, поскольку JavaScript собирает полезную нагрузку на целевой системе, он обходит любые брандмауэры и средства защиты, которые обычно отлавливают вредоносный файл по периметру.

Случаи развертывания

Исследователи Microsoft видели, как этот метод использовался в кампаниях Makoto, которые распространяют банковские трояны, а также в целенаправленных атаках NOBELIUM.

Кампании по HTML smuggling также используются для распространения троянов удаленного доступа AsyncRAT или NJRAT, или трояна TrickBot, используемого для взлома сетей и развертывания программ-вымогателей.

Атаки обычно начинаются с фишингового письма, содержащего HTML-ссылку в теле сообщения или вредоносный HTML-файл в качестве вложения.

Если нажать на любую из этих ссылок, то с помощью HTML smuggling будет создан ZIP-архив. Этот архив содержит загрузчик файлов JavaScript, который получает дополнительные файлы с командно-контрольного сервера (C2) для установки на устройство жертвы.

В некоторых случаях созданные архивы защищены паролем для дополнительного уклонения от обнаружения средствами контроля безопасности конечных точек. Однако пароль для их открытия предоставляется в оригинальном HTML-вложении, поэтому жертва должна ввести его вручную.

После запуска сценария выполняется команда PowerShell в кодировке base64, которая загружает и устанавливает троян TrickBot или другое вредоносное ПО.

Microsoft впервые предупредила о внезапном росте этой активности в июле 2021 года, призвав администраторов усилить защиту от нее.

Как защититься от HTML smuggling

Блокировать JavaScript или VBScript от запуска загруженного исполняемого содержимого. Правда в большинстве сред отключить Javascript не представляется возможным, поскольку слишком много легитимных систем и веб-приложений требуют его использования.

Блокировать выполнение потенциально запутанных сценариев

Блокировать запуск исполняемых файлов, если они не соответствуют критериям распространенности, возраста или списка доверенных лиц.

В дополнение к вышеперечисленному, пользователи могут предотвратить автоматическое выполнение кода JavaScript, связав файлы .js и .jse с текстовым редактором, таким как Блокнот.

В конечном итоге, лучшим средством защиты является не открывать файлы, загруженные по ссылкам в электронных письмах и вложениях. Ко всем файлам, загруженным из электронной почты, следует относиться с осторожностью и тщательно проверять их перед открытием.

Кроме того, если во вложении или по ссылке электронной почты загружается вложение, заканчивающееся расширением .js (JavaScript), его никогда не следует открывать и автоматически удалять.