Inne i en løsepengevaregjeng: Pass på disse aggressive taktikkene Se nå
Microsoft har flagget en relativt ny angrepsstil, kalt “HTML-smugling”, som brukes i e-postkampanjer som distribuerer bankprogramvare og fjerntilgangstrojanere (RAT), og som en del av målrettede hackingangrep.
HTML-smugling lar en angriper “smugle” et kodet ondsinnet skript i et spesiallaget HTML-vedlegg eller nettside. Det er en “svært unnvikende” leveringsteknikk for skadelig programvare som bruker legitime HTML5- og JavaScript-funksjoner, advarer Microsoft 365 Defender Threat Intelligence Team.
Det er et ekkelt triks som omgår standard nettverksperresikkerhet, som nettproxyer og e-postgatewayer, siden skadelig programvare bygges inne i nettverket etter at en ansatt åpner en nettside eller et vedlegg med det ondsinnede HTML-skriptet. Så et selskaps nettverk kan bli truffet selv om gateway-enheter ser etter mistenkelige EXE-, ZIP- eller Office-dokumenter.
SE: En vinnende strategi for cybersikkerhet (ZDNet spesialrapport)
“Når en målbruker åpner HTML-koden i nettleseren sin, dekoder nettleseren det ondsinnede skriptet, som igjen setter sammen nyttelasten på vertsenheten. I stedet for å få en ondsinnet kjørbar direkte gjennom et nettverk, bygger angriperen skadelig programvare lokalt bak en brannmur,” advarer Microsoft.
Det er en praktisk angrepsteknikk fordi de fleste bedrifter bruker HTML og JavaScript for å kjøre bedriftsappene sine. Problemet er at det nylig har vært en økning i HTML-smuglingangrep fordi nettkriminelle grupper bak bankprogramvare som Trickbot, RATs og annen skadelig programvare lærer av statsstøttede angripere.
Angrepsstilen er bemerkelsesverdig fordi den har blitt brukt av Kreml-støttede hackere – sporet av Microsoft som Nobelium. Siden den gang har den blitt adoptert av nettkriminelle.
Og HTML-smugling er en effektiv teknikk fordi nettet er avgjørende for forretningsdrift. Organisasjoner, for eksempel, kan deaktivere JavaScript i nettleseren, men det er allment kjent for å være en upraktisk tilnærming fordi språk er allestedsnærværende på nettet. Microsoft har forsøkt å stramme opp Edge-sikkerheten med sin Super Duper Secure Mode som slår av JavaScript JIT-kompilatoren. Google fikser også jevnlig kraftige feil i Chromes V8 JavaScript-motor.
“Deaktivering av JavaScript kan redusere HTML-smugling opprettet ved hjelp av JavaScript Blobs. JavaScript brukes imidlertid til å gjengi forretningsrelaterte og andre legitime nettsider,” forklarer Microsoft.
“I tillegg er det flere måter å implementere HTML-smugling gjennom tilsløring og mange måter å kode JavaScript på, noe som gjør nevnte teknikk svært unnvikende mot innholdsinspeksjon.”
SE: IoT blir mye større, men sikkerheten blir fortsatt etterlatt
Microsoft har funnet ut at mellom juli og august var det en økning i HTML-smugling i kampanjer som leverer RAT-er som AsyncRAT /NJRAT.
“I september så vi en e-postkampanje som utnytter HTML-smugling for å levere Trickbot. Microsoft tilskriver denne Trickbot-kampanjen til en fremvoksende, økonomisk motivert nettkriminell gruppe vi sporer som DEV-0193,” sier Microsoft.
Sikkerhet
Exchange Server-feil: Oppdater umiddelbart, advarer Microsoft Gjennomsnittlig ransomware-betaling for amerikanske ofre mer enn $6 millioner Microsoft Patch tirsdag: 55 bugs knust, to under aktiv utnyttelse Mistenkt REvil ransomware-tilknyttede selskaper arrestert Det beste phishing-målet? Din smarttelefon Hvorfor trenger du denne sikkerhetsnøkkelen på $29 Google | Sikkerhets-TV | Databehandling | CXO | Datasentre