Desde que a Microsoft iniciou o bloqueio padrão de macros em documentos enviados pela Internet, houve um aumento no uso de arquivos HTML para distribuir malware.
Pesquisa de Trustwave Spiderlabs revela um aumento no chamado’contrabando de HTML’usando atributos HTML5 que podem funcionar offline armazenando um binário em uma bolha imutável de dados dentro do código JavaScript. A carga útil incorporada é então decodificada em um objeto de arquivo quando aberto por meio de um navegador da Web.
Isso permite que os invasores aproveitem a versatilidade do HTML em combinação com a engenharia social para induzir o usuário a salvar e abrir o carga maliciosa. As últimas campanhas têm se passado por marcas conhecidas como Adobe Acrobat, Google Drive e Dropbox para aumentar as chances dos usuários abrirem os arquivos.
Os tipos de malware fornecidos incluem o cavalo de Tróia Qakbot e o Cobalt Strike–uma ferramenta de teste de caneta que costuma ser abusada por agentes de ameaças para investigue as redes em busca de vulnerabilidades.
Os pesquisadores de segurança Bernard Bautista e Diana Lopera escrevem no blog do Spiderlabs:
Esperamos ver malwares mais sofisticados entregues por meio do contrabando de HTML com iscas mais atraentes personificação de produtos conhecidos e truques de engenharia social, ofuscação complexa no nível HTML evitando a detecção baseada em assinatura e diversas sequências de ataque que podem exigir mais interação do usuário, mas ainda podem ser eficazes para obter acesso inicial.
Nós sempre rem indique a todos que fiquem vigilantes neste cenário digital em constante mudança.
Você pode ler mais em Blog do Spiderlabs.
Crédito da imagem: Rawpixel/depositphotos.com