in

Los piratas informáticos utilizan cada vez más el contrabando de HTML en ataques de phishing y malware


Contrabando de HTML

Los actores de amenazas dependen cada vez más de la tecnología de Contrabando de HTML en campañas de phishing para obtener acceso inicial e implementar una variedad de amenazas que incluyen malware bancario, troyanos de administración remota (RAT) y cargas útiles de ransomware.

Microsoft 365 Defender Threat Intelligence Team anunció en un nuevo informe publicado el jueves que había identificado infiltraciones que propagaban el troyano bancario Mekotio, puertas traseras como AsyncRAT y NjRAT, y el infame malware TrickBot. Los ataques de múltiples etapas, llamados ISOMorph, también fueron documentados públicamente por Menlo Security en julio de 2021.

Copias de seguridad automáticas de GitHub

El contrabando de HTML es un enfoque que permite a un atacante «pasar de contrabando» droppers de primer nivel, a menudo scripts maliciosos codificados incrustados en archivos adjuntos HTML especialmente diseñados o páginas web, en la computadora de la víctima realizando funciones básicas de HTML5 y en lugar de explotar una vulnerabilidad o un diseño falla en los navegadores web modernos, JavaScript lo usa.

Esto permite al actor de amenazas construir programáticamente las cargas útiles usando JavaScript en la página HTML en lugar de realizar una solicitud HTTP para obtener un recurso en un servidor web sin pasar por las soluciones de seguridad perimetral. Luego, los droppers HTML se utilizan para extraer el malware principal y ejecutarlo en los puntos finales comprometidos.

Contrabando de HTML
Comportamiento de amenaza observado en la campaña Mekotio

«Cuando un usuario objetivo abre el código HTML en su navegador web, el navegador decodifica el script malicioso, que a su vez compila la carga útil en el dispositivo anfitrión», dijeron los investigadores. «En lugar de permitir que un archivo ejecutable malicioso pase directamente a través de una red, el atacante crea el malware localmente detrás de un firewall».

La capacidad del contrabando HTTP para eludir los proxies web y las puertas de enlace de correo electrónico lo ha convertido en un método lucrativo entre los actores patrocinados por el gobierno y los ciberdelincuentes para distribuir malware en ataques del mundo real, según Microsoft.

Se descubrió que Nobelium, el grupo de amenazas detrás del hackeo de la cadena de suministro de SolarWinds, utilizó esta misma táctica para apuntar a un Cobalt Strike Beacon como parte de un elaborado ataque por correo electrónico contra agencias gubernamentales, think tanks, asesores y organizaciones no gubernamentales en En todo el mundo para realizar envíos a 24 países, incluido EE. UU., a principios de mayo.

Prevenir filtraciones de datos

Además de las operaciones de espionaje, el contrabando de HTML también se utilizó para ataques de malware bancario con el troyano Mekotio, y los atacantes enviaron correos electrónicos no deseados con un enlace malicioso que, al hacer clic, desencadena la descarga de un archivo ZIP, que a su vez contiene un Archivo JavaScript. Descargador de archivos para recuperar archivos binarios que permiten el robo de credenciales y el registro de teclas.

Contrabando de HTML
Cadena de ataque de contrabando de HTML en la campaña de spear phishing de Trickbot

Pero como una señal de que otros jugadores se están dando cuenta y están agregando el contrabando de HTML a su arsenal, en septiembre se descubrió una campaña de correo electrónico de DEV-0193 que utilizó incorrectamente el mismo método para entregar TrickBot. Los ataques involucran un adjunto HTML malicioso que, cuando se abre en un navegador web, crea un archivo JavaScript protegido con contraseña en el sistema del destinatario y solicita a la víctima que proporcione la contraseña del adjunto HTML original.

Esto inicia la ejecución del código JavaScript, que luego inicia un comando de PowerShell codificado en Base64 para contactar a un servidor controlado por un atacante para descargar el malware TrickBot, allanando el camino para los siguientes ataques de ransomware.

«El aumento en el uso de contrabando de HTML en campañas de correo electrónico es otro ejemplo de cómo los atacantes están refinando ciertos componentes de sus ataques mediante la incorporación de técnicas altamente evasivas», señaló Microsoft. “Esta introducción muestra cómo las tácticas, técnicas y procedimientos (TTP) pasan de las bandas de delitos cibernéticos a los actores de amenazas maliciosas y viceversa. También refuerza el estado actual de la economía sumergida donde tales TTP se consideran efectivas «.



What do you think?

Written by Helen Lafayette

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

Cómo contratar y retener cazadores de amenazas eficaces

La actualización de Samba soluciona el problema de saqueo de contraseña de texto sin cifrar – Naked Security