Hacker tăng cường sử dụng HTML trong các cuộc tấn công bằng phần mềm độc hại và lừa đảo

Hacker tăng cường sử dụng HTML trong các cuộc tấn công bằng phần mềm độc hại và lừa đảo

Các tác nhân đe dọa đang ngày càng tăng hình thức sử dụng kỹ thuật chèn lậu HTML trong các chiến dịch lừa đảo như một cách để xâm nhập lấy quyền truy cập ban đầu và triển khai một loạt các mối đe dọa, bao gồm phần mềm độc hại ngân hàng, trojan quản trị từ xa (RAT) và mã độc tống tiền (ransomware).

Hacker tăng cường sử dụng HTML trong các cuộc tấn công bằng phần mềm độc hại và lừa đảo

Trong một báo cáo mới được công bố vào hôm thứ Năm, nhóm tình báo về mối đe dọa bảo mật Microsoft 365 Defender Threat Intelligence Team đã tiết lộ rằng họ đã xác định được các hành vi xâm nhập phân phối các Trojan ngân hàng Mekotio và các cửa backdoor như AsyncRAT và NjRAT, và còn có cả phần mềm độc hại khét tiếng TrickBot. Các cuốc tấn công nhiều giai đoạn này được gọi là ISOMorph được Menlo Security công khai bằng văn bản vào tháng 7/2021.

Chèn lậu HTML là một cách tiếp cận cho phép hacker chèn các phần mềm ở giai đoạn đầu, thường được mã hóa các đoạn mã độc hại được nhúng trong tập đính kèm hoặc trang web HTML được chế tạo đặc biệt, trên thiết bị của nạn nhân bằng cách tận dụng các tính năng cơ bản trong HTML5 và JavaScript thay vì khai thác một lỗ hổng bảo mật hoặc một lỗ hổng thiết kế trong các trình duyệt web.

Bằng cách đó, nó cho phép tác nhân đe dọa xây dựng các tải trọng theo chương trình trên trang HTML bằng JavaScript, thay vì phải thực hiện yêu cầu HTTP để tìm nạp tài nguyên trên máy chủ web, đồng thời tránh các giải pháp bảo mật ngoại vi. Sau đó các HTML nhỏ giọt được sử dụng để tìm nạp phần mềm độc hại chính được thực thi trên các điểm cuối bị xâm phạm.

Hacker tăng cường sử dụng HTML trong các cuộc tấn công bằng phần mềm độc hại và lừa đảo

Các nhà nghiên cứu cho biết: “Khi người dùng mục tiêu mở HTML trong trình duyệt web của họ, trình duyệt sẽ giải mã tập lệnh độc hại, từ đó tập hợp tải trọng trên thiết bị chủ. "Do đó, thay vì có một tệp thực thi độc hại trực tiếp qua mạng, kẻ tấn công xây dựng phần mềm độc hại cục bộ đằng sau một bức tường lửa."

Khả năng vượt qua proxy web và cổng email của HTTP Smuggling đã khiến nó trở thành một phương pháp sinh lợi giữa các tổ chức và nhóm tội phạm mạng được nhà nước bảo trợ để cung cấp phần mềm độc hại trong các cuộc tấn công trong thế giới thực, Microsoft lưu ý.

Nobelium, nhóm đe dọa đằng sau vụ hack chuỗi cung ứng SolarWinds, được phát hiện đã tận dụng chính chiến thuật này để đưa ra một Báo hiệu tấn công Cobalt như một phần của cuộc tấn công dựa trên email tinh vi nhằm vào các cơ quan chính phủ, các tổ chức tư vấn, nhà tư vấn và các tổ chức phi chính phủ nằm trên 24 quốc gia, bao gồm cả Mỹ, vào đầu tháng 5 này.

Ngoài các hoạt động gián điệp, buôn lậu HTML cũng đã được chấp nhận cho các cuộc tấn công phần mềm độc hại ngân hàng liên quan đến trojan Mekotio, điều mà đối thủ gửi email spam có chứa một liên kết độc hại, khi được nhấp vào, sẽ kích hoạt tải xuống tệp ZIP, đến lượt nó, chứa một Trình tải xuống tệp JavaScript để truy xuất các tệp nhị phân có khả năng đánh cắp thông tin xác thực và ghi khóa.

Nhưng trong một dấu hiệu cho thấy các tác nhân khác đang chú ý và kết hợp chèn lậu HTML trong một chiến dịch email tháng 9 do DEV-0193 thực hiện đã bị phát hiện, lạm dụng cùng một phương pháp để cung cấp TrickBot. Các cuộc tấn công bao gồm một tệp đính kèm HTML độc hại, khi được mở trên trình duyệt web, sẽ tạo ra một tệp JavaScript được bảo vệ bằng mật khẩu trên hệ thống của người nhận, khiến nạn nhân cung cấp mật khẩu từ tệp đính kèm HTML ban đầu.

Làm như vậy sẽ bắt đầu thực thi mã JavaScript, sau đó sẽ khởi chạy lệnh PowerShell được mã hóa Base64 để liên hệ với máy chủ do kẻ tấn công kiểm soát để tải xuống phần mềm độc hại TrickBot, cuối cùng mở đường cho các cuộc tấn công tiếp theo ransomware.

"Sự gia tăng trong việc sử dụng tính năng nhập lậu HTML trong các chiến dịch email là một ví dụ khác về cách những kẻ tấn công tiếp tục tinh chỉnh các thành phần cụ thể của các cuộc tấn công của chúng bằng cách tích hợp các kỹ thuật trốn tránh cao", Microsoft lưu ý. "Việc áp dụng như vậy cho thấy cách thức các chiến thuật, kỹ thuật và thủ tục (TTP) từ các băng nhóm tội phạm mạng đến các tác nhân đe dọa xấu và ngược lại.

 Hương - Theo TheHackerNews