Los actores de amenazas confían cada vez más en la tecnología contrabando de HTML en campañas de phishing como un medio para obtener acceso inicial y desplegar una variedad de amenazas, incluido malware bancario, caballos de Troya para administración remota (RAT) y ransomware.
El equipo de inteligencia de amenazas de Microsoft 365 Defender reveló en un nuevo informe publicado el jueves que identificó infiltraciones que distribuyen el troyano bancario Mekotio, puertas traseras como AsyncRAT y NjRAT, y el infame malware TrickBot. Los ataques de varias fases, apodados ISOMorph, también fueron documentados públicamente por Menlo Security en julio de 2021.
El contrabando de HTML es un enfoque que permite a un atacante «pasar de contrabando» droppers de primera etapa, a menudo codificados con scripts maliciosos incrustados en archivos adjuntos HTML o páginas web especialmente diseñados, a la computadora de la víctima mediante el uso de la funcionalidad básica de HTML5 y JavaScript en lugar de la explotación. vulnerabilidad o defecto de diseño en los navegadores web modernos.
Esto permite que el actor de amenazas cree mediante programación secciones de datos en una página HTML utilizando JavaScript, en lugar de tener que realizar una solicitud HTTP para cargar un recurso en un servidor web, al tiempo que evita las soluciones de seguridad perimetral. Los cuentagotas de HTML luego se utilizan para cargar el malware principal para que se ejecute en los puntos finales infectados.
 |
| El ominoso comportamiento observado en la campaña de Mekotio |
«Cuando un usuario objetivo abre HTML en su navegador web, el navegador decodifica el script malicioso, que a su vez genera la carga útil en el dispositivo host», dijeron los investigadores. «En lugar de que un ejecutable malicioso atraviese la red directamente, un atacante crea malware localmente detrás de un firewall».
La capacidad de HTTP Smuggling para eludir los proxies web y las puertas de enlace de correo electrónico lo ha convertido en un método lucrativo entre los actores patrocinados por el estado y los grupos ciberdelincuentes para entregar malware en ataques del mundo real, señaló Microsoft.
Se descubrió que Nobelium, el grupo de amenazas detrás del hackeo de la cadena de suministro de SolarWinds, está utilizando esta táctica para entregar Cobalt Strike Beacon como parte de un sofisticado ataque por correo electrónico dirigido a agencias gubernamentales, grupos de expertos, consultores y ONG de todo el mundo. 24 países, incluido EE. UU., a principios de mayo.
Además de las operaciones de espionaje, el contrabando de HTML también se ha extendido a los ataques de malware bancario que involucran el troyano Mekotio, lo que significa que los enemigos envían correos electrónicos no deseados que contienen un enlace malicioso que, al hacer clic, desencadena la descarga de un archivo ZIP, que a su vez contiene un Descargador de JavaScript para recuperar archivos binarios capaces de robo de credenciales y registro de teclas.
 |
| Una serie de ataques de contrabando de HTML en una campaña de phishing selectivo de Trickbot |
Pero como una señal de que otros actores están notando esto e incorporando el contrabando de HTML en su arsenal, se reveló una campaña de correo electrónico de septiembre de DEV-0193, abusando del mismo método para entregar TrickBot. Los ataques involucran un archivo adjunto HTML malicioso que, cuando se abre en un navegador web, crea un archivo JavaScript protegido con contraseña en el sistema del destinatario y solicita a la víctima una contraseña del archivo adjunto HTML original.
Esto inicia la ejecución del código JavaScript, que luego ejecuta un comando de PowerShell codificado en Base64 que se comunica con un servidor controlado por el atacante y descarga el malware TrickBot, lo que eventualmente allana el camino para posteriores ataques de ransomware.
«El aumento en el uso de contrabando de HTML en campañas de correo electrónico es otro ejemplo de cómo los atacantes mejoran constantemente componentes específicos de sus ataques al integrar técnicas altamente evasivas», dijo Microsoft. «Tal aceptación muestra cómo las tácticas, técnicas y prácticas (TTP) están infiltrando bandas de ciberdelincuentes en actores maliciosos y viceversa. También refuerza el estado actual de la economía clandestina, donde tales TTP se mercantilizan cuando se consideran efectivos».
