Последнее обновление 09.01.2023 — QGames
Microsoft наблюдала всплеск кампаний вредоносных программ, использующих контрабанду HTML для распространения банковских вредоносных программ и троянов удаленного доступа (RAT).
Хотя контрабанда HTML не является новой техникой, Microsoft видит, что ее все чаще используют злоумышленники для уклонения от обнаружения, в том числе хакерская группа Nobelium, стоящая за атаками SolarWinds.
Как работает контрабанда HTML
Контрабанда HTML — это метод, используемый в фишинговых кампаниях, в которых используются HTML5 и JavaScript для сокрытия вредоносных полезных данных в закодированных строках во вложении HTML или на веб-странице. Эти строки затем декодируются браузером, когда пользователь открывает вложение или щелкает ссылку.
Например, фишинговое HTML-вложение может содержать безобидную ссылку на известный веб-сайт, поэтому оно не будет рассматриваться как вредоносное. Однако, когда пользователь нажимает на ссылку, JavaScript декодирует включенную зашифрованную или закодированную строку и преобразует ее во вредоносное вложение, которое вместо этого загружается.
Поскольку вредоносная полезная нагрузка изначально закодирована, она выглядит безвредной для программного обеспечения безопасности и не определяется как вредоносная. Более того, поскольку JavaScript собирает полезную нагрузку в целевой системе, он обходит любые брандмауэры и средства защиты, которые обычно ловят вредоносный файл по периметру.
Случаи развертывания
Исследователи Microsoft видели, что этот метод использовался в кампаниях Mekotio, которые рассылают банковских троянов, а также в узконаправленных атаках NOBELIUM.
Кампании по контрабанде HTML также используются для удаления троянов удаленного доступа AsyncRAT или NJRAT или трояна TrickBot, используемого для взлома сетей и развертывания программ-вымогателей.
Атаки обычно начинаются с фишингового письма, содержащего HTML-ссылку в теле сообщения или вредоносный HTML-файл в качестве вложения.
Если щелкнуть любой из них, ZIP-файл будет удален с использованием контрабанды HTML. Этот архив содержит загрузчик файлов JavaScript, который загружает дополнительные файлы с сервера управления и контроля (C2) для установки на устройство жертвы.
В некоторых случаях созданные архивы защищены паролем для дополнительного обхода контроля безопасности конечных точек. Однако пароль для его открытия предоставляется в исходном HTML-вложении, поэтому жертва должна ввести его вручную.
После запуска скрипта выполняется команда PowerShell в кодировке base64, которая загружает и устанавливает троян TrickBot или другое вредоносное ПО.
В отчете Menlo Security за 2020 год также упоминается группа вредоносных программ Duri как один из участников, активно использующих контрабанду HTML для распространения полезной нагрузки, но этот метод впервые был применен как минимум с 2018 года.
Microsoft впервые предупредила о внезапном всплеске этой активности в июле 2021 года , призвав администраторов усилить защиту от этого.
Как защититься от контрабанды HTML
Microsoft предлагает администраторам использовать правила поведения для проверки общих характеристик контрабанды HTML, в том числе:
- Прикрепленный ZIP-файл содержит JavaScript
- Вложение защищено паролем
- HTML-файл содержит подозрительный код сценария.
- Файл HTML декодирует код Base64 или запутывает JavaScript.
Для конечных точек администраторы должны блокировать или проверять деятельность, связанную с контрабандой HTML, в том числе:
- Запретить JavaScript или VBScript запускать загруженный исполняемый контент
- Блокировать выполнение потенциально запутанных скриптов
- Запрещать запуск исполняемых файлов, если они не соответствуют критериям распространенности, возраста или списка доверенных
В дополнение к вышесказанному, пользователи могут предотвратить автоматическое выполнение кода JavaScript, связав файлы .js и .jse с текстовым редактором, таким как Блокнот.
В конечном счете, лучшая защита — научить пользователей не открывать файлы, загруженные по ссылкам в электронных письмах и вложениях. Ко всем файлам, загруженным из электронной почты, следует относиться осторожно и внимательно проверять перед открытием.
Кроме того, если вложение или ссылка электронной почты загружает вложение, заканчивающееся расширением .js (JavaScript), оно никогда не должно открываться и автоматически удаляться.
К сожалению, Windows по умолчанию отключает отображение расширений файлов, что во многих случаях приводит к тому, что расширения не видны. Вот почему всегда рекомендуется, чтобы пользователи разрешили просмотр расширений файлов, чтобы предотвратить открытие вредоносных файлов.
