Noticia compartida desde la página web Una al dia.

Los atacantes cada vez apuestan más por la técnica del contrabando de HTML (HTML smuggling) en las campañas de phishing como medio para obtener el acceso inicial y desplegar posteriormente una serie de amenazas, como malware bancario, troyanos de administración remota (RAT) y cargas útiles de ransomware.

Attackers increasingly use HTML smuggling in phishing and other email campaigns to stealthily deliver threats, but Microsoft Defender Office 365’s detonation technology provides durable protection against this evasive delivery technique.
— Microsoft Security Intelligence (@MsftSecIntel) July 23, 2021

Funcionamiento del contrabando de HTML (HTML smuggling)

El contrabando de HTML (HTML smuggling) es un enfoque que permite a un atacante ocultar la carga útil de los “droppers” en la primera etapa del ataque, a menudo scripts maliciosos codificados e incrustados en archivos adjuntos HTML o páginas web especialmente diseñadas. El atacante aprovecha las características básicas de HTML5 y JavaScript en lugar de explotar una vulnerabilidad o un defecto de diseño en los navegadores web modernos.

De esta manera, el atacante puede construir las cargas útiles de forma programada en la página HTML utilizando JavaScript, en lugar de tener que hacer una solicitud HTTP para obtener un recurso en un servidor web, y al mismo tiempo evadir las soluciones de seguridad del perímetro. Los “droppers” HTML se utilizan para obtener el malware que se ejecutará posteriormente en los equipos comprometidos.

Los ataques suelen comenzar con un correo electrónico de phishing que contiene un enlace HTML en el cuerpo del mensaje o un archivo HTML malicioso como adjunto.

Si se hace clic en cualquiera de ellos, se suelta un archivo ZIP que utiliza el contrabando de HTML (HTML smuggling) que obtiene archivos adicionales de un servidor de comando y control (C2) para instalarlos en el dispositivo de la víctima.

CONTINUA LEYENDO