Depuis que Microsoft a commencé à bloquer par défaut les macros dans les documents envoyés sur Internet, l’utilisation de fichiers HTML pour diffuser des logiciels malveillants a augmenté.
Research by Trustwave Spiderlabs révèle une augmentation de ce que l’on appelle la”contrebande HTML”à l’aide d’attributs HTML5 qui peuvent fonctionner hors ligne en stockant un binaire dans un bloc de données immuable dans le code JavaScript. La charge utile intégrée est ensuite décodée dans un objet fichier lorsqu’elle est ouverte via un navigateur Web.
Cela permet aux acteurs de la menace de tirer parti de la polyvalence du HTML en combinaison avec l’ingénierie sociale pour inciter l’utilisateur à enregistrer et à ouvrir le charge utile malveillante. Les dernières campagnes ont usurpé l’identité de marques bien connues comme Adobe Acrobat, Google Drive et Dropbox pour augmenter les chances que les utilisateurs ouvrent les archives.
Les souches de logiciels malveillants livrées incluent le cheval de Troie Qakbot et Cobalt Strike, un outil de test d’intrusion souvent utilisé de manière abusive par les acteurs malveillants pour sondez les réseaux à la recherche de vulnérabilités.
Les chercheurs en sécurité Bernard Bautista et Diana Lopera écrivent sur le blog de Spiderlabs :
Nous nous attendons à voir des logiciels malveillants plus sophistiqués diffusés via la contrebande HTML avec des leurres plus convaincants usurpant l’identité de produits bien connus et d’astuces d’ingénierie sociale, obscurcissement complexe au niveau HTML évitant la détection basée sur les signatures, et diverses séquences d’attaque qui peuvent nécessiter plus d’interaction de l’utilisateur mais peuvent toujours être efficaces pour obtenir un accès initial.
Nous toujours rem indiez tout le monde à rester vigilant dans ce paysage numérique en constante évolution.
Vous pouvez en savoir plus sur blog Spiderlabs.
Crédit image : Rawpixel/depositphotos.com