Inde i en ransomware-bande: Pas på disse aggressive taktikker Se nu
Microsoft har markeret en relativt ny angrebsstil, kaldet “HTML-smugling”, som bliver brugt i e-mail-kampagner, der implementerer bank-malware og fjernadgangs-trojanske heste (RAT'er), og som en del af målrettede hackingangreb.
HTML-smugling lader en angriber “smugle” et kodet ondsindet script i en specialudformet HTML-vedhæftet fil eller webside. Det er en “meget undvigende” malware-leveringsteknik, der bruger legitime HTML5- og JavaScript-funktioner, advarer Microsoft 365 Defender Threat Intelligence Team.
Det er et grimt trick, der omgår standardnetværks perimetersikkerhed, såsom webproxies og e-mail-gateways, da malwaren er bygget inde i netværket, efter at en medarbejder åbner en webside eller en vedhæftet fil med det ondsindede HTML-script. Så en virksomheds netværk kan blive ramt, selvom gateway-enheder søger efter mistænkelige EXE-, ZIP- eller Office-dokumenter.
SE: En vindende strategi for cybersikkerhed (ZDNet-særrapport)
“Når en målbruger åbner HTML'en i deres webbrowser, afkoder browseren det ondsindede script, som igen samler nyttelasten på værtsenheden. I stedet for at lade en ondsindet eksekverbar passere direkte gennem et netværk, bygger angriberen således malwaren lokalt bag en firewall,” advarer Microsoft.
Det er en praktisk angrebsteknik, fordi de fleste virksomheder bruger HTML og JavaScript til at køre deres virksomhedsapps. Problemet er, at der for nylig har været en stigning i HTML-smuglingangreb, fordi cyberkriminelle grupper bag bankmalware som Trickbot, RAT'er og anden malware lærer af statssponsorerede angribere.
Angrebsstilen er bemærkelsesværdig, fordi den er blevet brugt af Kreml-støttede hackere – sporet af Microsoft som Nobelium. Siden da er det blevet adopteret af cyberkriminelle.
Og HTML-smugling er en effektiv teknik, fordi internettet er afgørende for forretningsdriften. Organisationer kan for eksempel deaktivere JavaScript i browseren, men det er almindeligt kendt for at være en upraktisk tilgang, fordi sprog er allestedsnærværende på nettet. Microsoft har forsøgt at stramme Edge-sikkerheden op med sin Super Duper Secure Mode, der slår JavaScript JIT-kompileren fra. Google retter også jævnligt potente fejl i Chromes V8 JavaScript-motor.
“Deaktivering af JavaScript kan mindske HTML-smugling oprettet ved hjælp af JavaScript-blobs. JavaScript bruges dog til at gengive forretningsrelaterede og andre legitime websider,” forklarer Microsoft.
“Derudover er der flere måder at implementere HTML-smugling gennem sløring og adskillige måder at kode JavaScript på, hvilket gør den nævnte teknik meget undvigende mod indholdsinspektion.”
SE: IoT bliver meget større, men sikkerheden bliver stadig efterladt
Microsoft har fundet ud af, at der mellem juli og august var en stigning i HTML-smugling i kampagner, der leverer RAT'er såsom AsyncRAT /NJRAT.
“I september så vi en e-mail-kampagne, der udnytter HTML-smugling til at levere Trickbot. Microsoft tilskriver denne Trickbot-kampagne til en spirende, økonomisk motiveret cyberkriminel gruppe, som vi sporer som DEV-0193.” siger Microsoft.
Sikkerhed
Exchange Server-fejl: Patch med det samme, advarer Microsoft Gennemsnitlig ransomware-betaling for amerikanske ofre for mere end $6 millioner Microsoft Patch tirsdag: 55 fejl knust, to under aktiv udnyttelse Suspected REvil ransomware affiliates arresteret Det bedste phishing-mål? Din smartphone Hvorfor har du brug for denne sikkerhedsnøgle til $29 Google | Sikkerheds-tv | Datastyring | CXO | Datacentre