Los piratas informáticos utilizan cada vez más el contrabando de HTML en ataques de phishing y malware

09:32 16/11/2021 | Lượt xem

Contrabando de HTML

Los actores de amenazas apuestan cada vez más por la técnica de Contrabando de HTML en campañas de phishing como un medio para obtener acceso inicial e implementar una variedad de amenazas, incluido el malware bancario, los troyanos de administración remota (RAT) y las cargas útiles de ransomware.

Microsoft 365 Defender Threat Intelligence Team, en un nuevo informe publicado el jueves, reveló que ha identificado infiltraciones que distribuyen el troyano bancario Mekotio, puertas traseras como AsyncRAT y NjRAT, y el infame malware TrickBot. Los ataques de múltiples fases, denominados ISOMorph, también fueron documentados públicamente por Menlo Security en julio de 2021.

Copias de seguridad automáticas de GitHub

El contrabando de HTML es un enfoque que permite a un atacante “pasar” de contrabando droppers de primera etapa, a menudo scripts codificados maliciosos incrustados en archivos adjuntos HTML especialmente diseñados o páginas web, en la máquina de la víctima, aprovechando las funciones básicas de HTML5 y JavaScript en lugar de explotar un vulnerabilidad o defecto de diseño en los navegadores modernos.

Al hacer esto, permite al agente de amenazas construir programáticamente las cargas útiles en la página HTML usando JavaScript, en lugar de tener que realizar una solicitud HTTP para obtener un recurso de un servidor web, evitando al mismo tiempo las soluciones de servidor web. Luego, los droppers HTML se utilizan para buscar el malware principal que se ejecutará en los puntos finales comprometidos.

Contrabando de HTML
Comportamiento de amenaza observado en la campaña Mekotio

“Cuando un usuario objetivo abre el HTML en su navegador, el navegador decodifica el script malicioso, que a su vez monta la carga útil en el dispositivo host”, dijeron los investigadores. “Entonces, en lugar de que un ejecutable malicioso pase directamente a través de una red, el atacante crea el malware localmente detrás de un firewall”.

La capacidad de HTTP Smuggling para eludir los proxies web y las puertas de enlace de correo electrónico lo ha convertido en un método rentable entre los actores patrocinados por el estado y los grupos ciberdelincuentes para distribuir malware en ataques del mundo real, señaló Microsoft.

Se descubrió que Nobelium, el grupo de amenazas detrás del hackeo de la cadena de suministro de SolarWinds, aprovechó esta misma táctica para entregar un Cobalt Strike Beacon como parte de un sofisticado ataque por correo electrónico dirigido a agencias gubernamentales, grupos de expertos, consultores y organizaciones no gubernamentales. organizaciones ubicadas en 24 países, incluido EE. UU., a principios de mayo.

Evite las filtraciones de datos

Además de las operaciones de espionaje, también se ha adoptado el contrabando de HTML para los ataques de malware bancario que involucran al troyano Mekotio, y los oponentes envían correos electrónicos no deseados que contienen un enlace malicioso que, al hacer clic en él, desencadena la descarga de un archivo ZIP, que, a su vez, contiene un Descargador de archivos JavaScript para recuperar archivos binarios capaces de robo de credenciales y registro de teclas.

Contrabando de HTML
Cadena de ataque de contrabando de HTML en la campaña de suplantación de identidad (Spear-Phishing) de Trickbot

Pero en una señal de que otros actores están notando e incorporando el contrabando de HTML en su arsenal, se descubrió una campaña de correo electrónico realizada en septiembre por DEV-0193, abusando del mismo método para entregar el TrickBot. Los ataques involucran un adjunto HTML malicioso que, cuando se abre en un navegador web, crea un archivo JavaScript protegido con contraseña en el sistema del destinatario, lo que solicita a la víctima que proporcione la contraseña del adjunto HTML original.

Esto inicia la ejecución del código JavaScript, que posteriormente inicia un comando de PowerShell codificado en Base64 para ponerse en contacto con un servidor controlado por un atacante para descargar el malware TrickBot, allanando el camino para los siguientes ataques de ransomware.

“El aumento en el uso de contrabando de HTML en campañas de correo electrónico es otro ejemplo de cómo los atacantes continúan refinando componentes específicos de sus ataques mediante la integración de técnicas altamente evasivas”, señaló Microsoft. “Esta adopción muestra cómo las tácticas, técnicas y procedimientos (TTP) pasan de las bandas de delincuencia cibernética a los agentes de amenazas maliciosos y viceversa. También refuerza el estado actual de la economía sumergida, donde tales TTP se convierten en productos básicos cuando se consideran efectivos”.

Related Posts

lên đầu trang