Seit Microsoft damit begonnen hat, Makros in Dokumenten, die über das Internet gesendet werden, standardmäßig zu blockieren, hat die Verwendung von HTML-Dateien zur Übermittlung von Malware zugenommen.
Untersuchungen von Trustwave Spiderlabs zeigt einen Anstieg des sogenannten „HTML-Schmuggels“ unter Verwendung von HTML5-Attributen, die offline funktionieren können, indem a binär in einem unveränderlichen Datenklumpen innerhalb von JavaScript-Code. Die eingebettete Nutzlast wird dann beim Öffnen über einen Webbrowser in ein Dateiobjekt dekodiert.
Dies ermöglicht Angreifern, die Vielseitigkeit von HTML in Kombination mit Social Engineering zu nutzen, um den Benutzer zum Speichern und Öffnen der Datei zu verleiten bösartige Nutzlast. Bei den neuesten Kampagnen wurden bekannte Marken wie Adobe Acrobat, Google Drive und Dropbox imitiert, um die Wahrscheinlichkeit zu erhöhen, dass Benutzer die Archive öffnen.
Zu den gelieferten Malware-Stämmen gehören der Qakbot-Trojaner und Cobalt Strike – ein Stifttest-Tool, das häufig von Angreifern missbraucht wird Untersuchen Sie Netzwerke auf Schwachstellen.
Die Sicherheitsforscher Bernard Bautista und Diana Lopera schreiben im Spiderlabs-Blog:
Wir erwarten, dass raffiniertere Malware durch HTML-Schmuggel mit überzeugenderen Ködern verbreitet wird bekannte Produkte und Social-Engineering-Tricks imitieren, komplexe Verschleierung auf HTML-Ebene, die signaturbasierte Erkennung umgeht, und verschiedene Angriffssequenzen, die möglicherweise mehr Benutzerinteraktion erfordern, aber dennoch effektiv sein können, um anfänglichen Zugriff zu erhalten.
Wir immer rem Bitten Sie alle, in dieser sich ständig verändernden digitalen Landschaft wachsam zu bleiben.
Weitere Informationen finden Sie unter Spiderlabs-Blog.
Bildnachweis: Rawpixel/depositphotos.com