Inuti ett gäng ransomware: Akta dig för dessa aggressiva taktiker Titta nu
Microsoft har flaggat en relativt ny attackstil, kallad “HTML-smuggling”, som används i e-postkampanjer som distribuerar bankprogram och trojaner med fjärråtkomst (RAT), och som en del av riktade hackattacker.
HTML-smuggling låter en angripare “smuggla” ett kodat skadligt skript i en specialgjord HTML-bilaga eller webbsida. Det är en “mycket undvikande” leveransteknik för skadlig programvara som använder legitima HTML5- och JavaScript-funktioner varnar Microsoft 365 Defender Threat Intelligence Team.
Det är ett otäckt knep som kringgår standardnätverkets perimetersäkerhet, såsom webbproxies och e-postgateways, eftersom skadlig programvara byggs in i nätverket efter att en anställd öppnar en webbsida eller en bilaga med det skadliga HTML-skriptet. Så ett företags nätverk kan drabbas även om gateway-enheter söker efter misstänkta EXE-, ZIP- eller Office-dokument.
SE: En vinnande strategi för cybersäkerhet (ZDNet specialrapport)
“När en målanvändare öppnar HTML-koden i sin webbläsare avkodar webbläsaren det skadliga skriptet, som i sin tur samlar nyttolasten på värdenheten. I stället för att låta en skadlig körbar fil passera direkt genom ett nätverk, bygger angriparen alltså skadlig programvara lokalt bakom en brandvägg,” varnar Microsoft.
Det är en praktisk attackteknik eftersom de flesta företag använder HTML och JavaScript för att köra sina företagsappar. Problemet är att det nyligen har skett en ökning av HTML-smugglingsattacker eftersom cyberkriminella grupper bakom bankprogram som Trickbot, RATs och annan skadlig kod lär sig av statligt sponsrade angripare.
Attacksstilen är anmärkningsvärd eftersom den har använts av Kreml-stödda hackare – spåras av Microsoft som Nobelium. Sedan dess har det antagits av cyberkriminella.
Och HTML-smuggling är en effektiv teknik eftersom webben är avgörande för affärsverksamheten. Organisationer, till exempel, kan inaktivera JavaScript i webbläsaren, men det är allmänt känt för att vara ett opraktiskt tillvägagångssätt eftersom språk är allestädes närvarande på webben. Microsoft har försökt skärpa Edge-säkerheten med sitt Super Duper Secure Mode som stänger av JavaScript JIT-kompilatorn. Google fixar också regelbundet potenta buggar i Chromes V8 JavaScript-motor.
“Att inaktivera JavaScript kan minska HTML-smuggling som skapats med JavaScript-blobs. Men JavaScript används för att rendera affärsrelaterade och andra legitima webbsidor,” förklarar Microsoft.
“Dessutom finns det flera sätt att implementera HTML-smuggling genom förvirring och många sätt att koda JavaScript, vilket gör den nämnda tekniken mycket undvikande mot innehållsinspektion.”
SE: IoT blir mycket större, men säkerheten blir fortfarande kvar
Microsoft har upptäckt att det mellan juli och augusti skedde en ökning av HTML-smuggling i kampanjer som levererar RATs som AsyncRAT /NJRAT.
“I september såg vi en e-postkampanj som utnyttjar HTML-smuggling för att leverera Trickbot. Microsoft tillskriver denna Trickbot-kampanj till en framväxande, ekonomiskt motiverad cyberkriminell grupp som vi spårar som DEV-0193.” säger Microsoft.
Säkerhet
Exchange Server-bugg: Patch omedelbart, varnar Microsoft Genomsnittlig betalning för ransomware för amerikanska offer för mer än 6 miljoner USD Microsoft Patch Tisdag: 55 buggar klämda, två under aktiv exploatering Suspected REvil ransomware affiliates arrested Det bästa nätfiskemålet? Din smartphone Varför du behöver denna säkerhetsnyckel på 29 $ Google | Säkerhets-TV | Datahantering | CXO | Datacenter