Trustwave SpiderLabs的高级安全研究经理卡尔·西格勒（Karl Sigler）表示，防范HTML走私攻击是一项挑战。“用户通常知道该避免使用Word DOCX或PDF等格式的附件，但不幸的是，HTML文件却常被认为是安全的。HTML附件所引发的攻击经常发生，特别是当电子邮件的HTML格式被剥离为纯文本，然后再附加到电子邮件其本身时。”

西格勒补充道，当涉及到品牌模仿时，事情可能会变得更为棘手。“比如，当用户看到Google Drive或Acrobat提示他们所打开的文件有问题时，他们会认为是Adobe或Google在告诉他们要使用本地副本，这是钓鱼攻击中常见的技巧。所以用户要明白的是，附加在电子邮件上的HTML文件与任何其他恶意附件一样有很大的风险。”

去年12月，Trustwave SpiderLabs发现了一封垃圾邮件带有HTML附件，该附件通过Adobe PDF删除了Cobalt Strike。该公司写道：“当加载HTML时，它会丢弃一个包含LNK（Windows快捷方式）的ISO文件，当单击该文件时，将启动有效负载执行序列。LNK文件启动PowerShell以执行伪装为‘.log’而不是‘.ps1’的PowerShell脚本，它会修改扩展名试图逃避防御，并诱使用户认为它是典型的日志文件。”

此外，Trustwave SpiderLabs写道，自2022年6月以来，Qakbot一直在使用HTML进行走私活动，其中包括模拟Google Drive，欺骗用户点击HTML附件，从而将加密的ZIP存档保存到磁盘，同时电子邮件和HTML附件包含提取ZIP内容的密码（LNK），在打开ZIP存档并启动LNK文件后，它会调用Windows命令处理器，并创建下载文件夹。

据Trustwave SpiderLabs称，最近还发现了使用HTML走私的恶意软件IcedID（或Bokbot），其在交付方法方面与Qakbot有一些相似之处。该公司表示：“IcedID是通过带有HTML附件的线程劫持电子邮件所发送的。”线程劫持的电子邮件包含恶意消息、链接或附件，而这些消息、链接和附件是被威胁参与者插入到合法的电子邮件中的。

研究人员表示：“在浏览器中加载后，模拟PDF文档的HTML会删除带有嵌入式ISO磁盘图像文件的ZIP存档。”HTML模板包含存档的密码，ISO文件中包含LNK文件、假PNG图像和IcedID DLL。

单击LNK文件启动命令行以加载假PNG图像，而在后台，rundll32会使用PluginInit参数加载初始IcedID DLL。Trustwave SpiderLabs表示，自2017年以来，IcedID实施了一系列交付方法，可将电子邮件作为其初始访问载体。

Trustwave SpiderLabs发现的第四个HTML走私样本是Xworm RAT，这是一种用.NET编译的恶意软件，能够监视用户的常态，包括击键和屏幕操作。比如某封伪装邮件声称其来自美国邮政局，内容主题为“货物已寄出”，并附带HTML文件，而当收件人接受邮件并打开HTML时，它将被加载到浏览器中，并自动将ISO磁盘图像放到目标的系统中。

西格勒表示，为了防止HTML走私风险，负责网络钓鱼和垃圾邮件的安全团队应该重新审视他们的电子邮件网关解决方案，以确保网关能够处理HTML走私威胁。“大多数电子邮件网关和垃圾邮件过滤器都在适应这一趋势，这样就能够过滤掉大部分此类攻击。此外，面对已在收件箱的电子邮件时，则需要加强员工的安全意识培训。”