自從 Microsoft 開始默認阻止通過 Internet 發送的文檔中的宏,使用 HTML 文件傳遞惡意軟件的情況有所增加。
研究者 Trustwave Spiderlabs 揭示了使用 HTML5 屬性的所謂“HTML 走私”的興起,這些屬性可以通過存儲JavaScript 代碼中不可變數據塊中的二進製文件。然後,當通過 Web 瀏覽器打開時,嵌入的有效負載會被解碼為文件對象。
這允許威脅參與者利用 HTML 的多功能性並結合社會工程來誘使用戶保存和打開文件惡意負載。最新的活動一直在冒充 Adobe Acrobat、Google Drive 和 Dropbox 等知名品牌,以增加用戶打開檔案的機會。
提供的惡意軟件包括 Qakbot 特洛伊木馬和 Cobalt Strike——一種經常被威脅行為者濫用的筆測試工具探測網絡中的漏洞。
安全研究人員 Bernard Bautista 和 Diana Lopera 在 Spiderlabs 博客上寫道:
我們希望看到更複雜的惡意軟件通過 HTML 走私以及更具吸引力的誘餌傳播冒充知名產品和社會工程技巧,在 HTML 級別進行複雜混淆以逃避基於簽名的檢測,以及可能需要更多用戶交互但仍可能有效獲得初始訪問權限的多樣化攻擊序列。
我們總是雷姆讓每個人在這個不斷變化的數字環境中保持警惕。
您可以在 Spiderlabs 博客。
圖片來源:Rawpixel/depositphotos.com