HTML走私活动冒充知名品牌传播恶意软件
Trustwave SpiderLabs的研究人员指出,HTML走私活动日益盛行,网络犯罪集团滥用HTML的多功能性来传播恶意软件。该公司详细介绍了最近的四次HTML走私活动,发现其目的是试图引诱用户保存和打开恶意负载,HTML走私活动会假冒Adobe Acrobat、Google Drive和美国邮政等知名品牌,以增加用户成为受害者的概率。
HTML走私活动使用的是HTML5属性,通过将二进制文件存储在JavaScript代码不可变的数据块中,就可以脱机工作了,当用web浏览器打开时,这些数据块会被解码为文件对象。Trustwave SpiderLabs写道,这不是一种新的攻击方法,但自从微软开始默认阻止来自互联网文档中的宏之后,它就越来越猖獗了。该公司补充说,最近在感染链中检测到的四种恶意软件分别为Cobalt Strike、Qakbot、IcedID和Xworm RAT。
Trustwave SpiderLabs的高级安全研究经理卡尔·西格勒(Karl Sigler)表示,防范HTML走私攻击是一项挑战。“用户通常知道该避免使用Word DOCX或PDF等格式的附件,但不幸的是,HTML文件却常被认为是安全的。HTML附件所引发的攻击经常发生,特别是当电子邮件的HTML格式被剥离为纯文本,然后再附加到电子邮件其本身时。”
西格勒补充道,当涉及到品牌模仿时,事情可能会变得更为棘手。“比如,当用户看到Google Drive或Acrobat提示他们所打开的文件有问题时,他们会认为是Adobe或Google在告诉他们要使用本地副本,这是钓鱼攻击中常见的技巧。所以用户要明白的是,附加在电子邮件上的HTML文件与任何其他恶意附件一样有很大的风险。”
去年12月,Trustwave SpiderLabs发现了一封垃圾邮件带有HTML附件,该附件通过Adobe PDF删除了Cobalt Strike。该公司写道:“当加载HTML时,它会丢弃一个包含LNK(Windows快捷方式)的ISO文件,当单击该文件时,将启动有效负载执行序列。LNK文件启动PowerShell以执行伪装为‘.log’而不是‘.ps1’的PowerShell脚本,它会修改扩展名试图逃避防御,并诱使用户认为它是典型的日志文件。”
此外,Trustwave SpiderLabs写道,自2022年6月以来,Qakbot一直在使用HTML进行走私活动,其中包括模拟Google Drive,欺骗用户点击HTML附件,从而将加密的ZIP存档保存到磁盘,同时电子邮件和HTML附件包含提取ZIP内容的密码(LNK),在打开ZIP存档并启动LNK文件后,它会调用Windows命令处理器,并创建下载文件夹。
据Trustwave SpiderLabs称,最近还发现了使用HTML走私的恶意软件IcedID(或Bokbot),其在交付方法方面与Qakbot有一些相似之处。该公司表示:“IcedID是通过带有HTML附件的线程劫持电子邮件所发送的。”线程劫持的电子邮件包含恶意消息、链接或附件,而这些消息、链接和附件是被威胁参与者插入到合法的电子邮件中的。
研究人员表示:“在浏览器中加载后,模拟PDF文档的HTML会删除带有嵌入式ISO磁盘图像文件的ZIP存档。”HTML模板包含存档的密码,ISO文件中包含LNK文件、假PNG图像和IcedID DLL。
单击LNK文件启动命令行以加载假PNG图像,而在后台,rundll32会使用PluginInit参数加载初始IcedID DLL。Trustwave SpiderLabs表示,自2017年以来,IcedID实施了一系列交付方法,可将电子邮件作为其初始访问载体。
Trustwave SpiderLabs发现的第四个HTML走私样本是Xworm RAT,这是一种用.NET编译的恶意软件,能够监视用户的常态,包括击键和屏幕操作。比如某封伪装邮件声称其来自美国邮政局,内容主题为“货物已寄出”,并附带HTML文件,而当收件人接受邮件并打开HTML时,它将被加载到浏览器中,并自动将ISO磁盘图像放到目标的系统中。
西格勒表示,为了防止HTML走私风险,负责网络钓鱼和垃圾邮件的安全团队应该重新审视他们的电子邮件网关解决方案,以确保网关能够处理HTML走私威胁。“大多数电子邮件网关和垃圾邮件过滤器都在适应这一趋势,这样就能够过滤掉大部分此类攻击。此外,面对已在收件箱的电子邮件时,则需要加强员工的安全意识培训。”
■ 威胁组织利用可截屏恶意软件,攻击了1000多家美、德企业
齐心抗疫 与你同在
[广告]赞助链接:
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
随时掌握互联网精彩
- 字体搬运工:免费商用字体下载
- 【直播预约】聊聊不传统的SSL证书——国密证书
- 男医生社交平台发女患者就诊隐私照,已被暂停执业
- 高通推出搭载骁龙XR2平台的全新无线AR智能眼镜参考设计
- 【程序员的趣味生活】程序员是如何交接项目的?
- Google、苹果、亚马逊向“自动驾驶”发起进攻!
- 安全疏漏or利益驱使?“小红书”泄露未成年人身体隐私狂打擦边球
- BCTF之DEF CON 29 Contest |自动驾驶Adversarial NPC热身赛题已开放!
- 阿里正在研发无人卡车;《王者荣耀》皮肤个性动作涉嫌抄袭致歉;苹果泄露女生私密照赔偿数百万美元|极客头条
- Chrome关闭7大端口,抵御NAT Slipstreaming 2.0 漏洞攻击
- 网络尖刀获京东JSRC年度第一、三,白帽排行前5包揽4名
- 你值得拥有!更省钱地完成数据监听