Binnen een bende ransomware: pas op voor deze agressieve tactieken Nu bekijken
Microsoft heeft een relatief nieuwe aanvalsstijl gesignaleerd, genaamd “HTML-smokkel”, die wordt gebruikt in e-mailcampagnes die malware voor het bankwezen en RAT's voor externe toegang inzetten, en als onderdeel van gerichte hackaanvallen.
Met HTML-smokkel kan een aanvaller een gecodeerd kwaadaardig script 'smokkelen' in een speciaal vervaardigde HTML-bijlage of webpagina. Het is een “zeer ontwijkende” techniek voor het afleveren van malware die gebruikmaakt van legitieme HTML5- en JavaScript-functies, waarschuwt het Microsoft 365 Defender Threat Intelligence-team.
Het is een vervelende truc die de standaard netwerkperimeterbeveiliging omzeilt, zoals webproxy's en e-mailgateways, omdat de malware in het netwerk wordt gebouwd nadat een werknemer een webpagina of bijlage met het schadelijke HTML-script opent. Het netwerk van een bedrijf kan dus worden geraakt, zelfs als gateway-apparaten controleren op verdachte EXE-, ZIP- of Office-documenten.
ZIE: Een winnende strategie voor cyberbeveiliging (speciaal rapport van ZDNet)
“Wanneer een doelgebruiker de HTML in zijn webbrowser opent, decodeert de browser het kwaadaardige script, dat op zijn beurt de payload op het hostapparaat assembleert. Dus in plaats van dat een kwaadaardig uitvoerbaar bestand rechtstreeks door een netwerk gaat, bouwt de aanvaller de malware lokaal achter een firewall”, waarschuwt Microsoft.
Het is een praktische aanvalstechniek omdat de meeste bedrijven HTML en JavaScript gebruiken om hun zakelijke apps uit te voeren. Het probleem is dat er recentelijk een golf van HTML-smokkelaanvallen is geweest, omdat cybercriminelen die achter malware voor banken zitten, zoals Trickbot, RAT's en andere malware, leren van door de staat gesponsorde aanvallers.
De aanvalsstijl is opmerkelijk omdat deze is gebruikt door door het Kremlin gesteunde hackers – gevolgd door Microsoft als Nobelium. Sindsdien is het overgenomen door cybercriminelen.
En HTML-smokkel is een effectieve techniek omdat het web essentieel is voor de bedrijfsvoering. Organisaties kunnen JavaScript bijvoorbeeld in de browser uitschakelen, maar het staat algemeen bekend als een onpraktische benadering omdat taal alomtegenwoordig is op internet. Microsoft heeft geprobeerd de Edge-beveiliging aan te scherpen met zijn Super Duper Secure-modus die de JavaScript JIT-compiler uitschakelt. Google repareert ook regelmatig krachtige bugs in Chrome's V8 JavaScript-engine.
“Het uitschakelen van JavaScript kan HTML-smokkel die is gemaakt met JavaScript-blobs verminderen. JavaScript wordt echter gebruikt om bedrijfsgerelateerde en andere legitieme webpagina's weer te geven”, legt Microsoft uit.
“Bovendien zijn er meerdere manieren om HTML-smokkel te implementeren door middel van verduistering en talloze manieren om JavaScript te coderen, waardoor de genoemde techniek zeer ontwijkend is tegen inhoudsinspectie.”
ZIE: Het IoT wordt een stuk groter, maar de beveiliging blijft achter
Microsoft heeft ontdekt dat er tussen juli en augustus een toename was in HTML-smokkel in campagnes die RAT's opleveren, zoals AsyncRAT /NJRAT.
“In september zagen we een e-mailcampagne die gebruikmaakt van HTML-smokkel om Trickbot te leveren. Microsoft schrijft deze Trickbot-campagne toe aan een opkomende, financieel gemotiveerde cybercriminele groep die we volgen als DEV-0193.” zegt Microsoft.
Beveiliging
Exchange Server-bug: patch onmiddellijk, waarschuwt Microsoft Gemiddelde ransomware-betaling voor Amerikaanse slachtoffers meer dan $ 6 miljoen Microsoft Patch dinsdag: 55 bugs geplet, twee onder actief misbruik Verdacht REvil ransomware-filialen gearresteerd Het beste phishing-doelwit? Uw smartphone Waarom u deze beveiligingssleutel van $29 nodig heeft Google | Beveiliging TV | Gegevensbeheer | CXO | Datacenters