Hacker tăng cường sử dụng HTML trong các cuộc tấn công bằng phần mềm độc hại và lừa đảo

www.tuoitre.vn -   15/11/2021 08:00:00 305

Các tác nhân đe dọa đang ngày càng tăng hình thức sử dụng kỹ thuật chèn lậu HTML trong các chiến dịch lừa đảo như một cách để xâm nhập lấy quyền truy cập ban đầu và triển khai một loạt các mối đe dọa, bao gồm phần mềm độc hại ngân hàng, trojan quản trị từ xa (RAT) và mã độc tống tiền (ransomware).

Hacker tăng cường sử dụng HTML trong các cuộc tấn công bằng phần mềm độc hại và lừa đảo

Trong một báo cáo mới được công bố vào hôm thứ Năm, nhóm tình báo về mối đe dọa bảo mật Microsoft 365 Defender Threat Intelligence Team đã tiết lộ rằng họ đã xác định được các hành vi xâm nhập phân phối các Trojan ngân hàng Mekotio và các cửa backdoor như AsyncRAT và NjRAT, và còn có cả phần mềm độc hại khét tiếng TrickBot. Các cuốc tấn công nhiều giai đoạn này được gọi là ISOMorph được Menlo Security công khai bằng văn bản vào tháng 7/2021.

Chèn lậu HTML là một cách tiếp cận cho phép hacker chèn các phần mềm ở giai đoạn đầu, thường được mã hóa các đoạn mã độc hại được nhúng trong tập đính kèm hoặc trang web HTML được chế tạo đặc biệt, trên thiết bị của nạn nhân bằng cách tận dụng các tính năng cơ bản trong HTML5 và JavaScript thay vì khai thác một lỗ hổng bảo mật hoặc một lỗ hổng thiết kế trong các trình duyệt web.

Bằng cách đó, nó cho phép tác nhân đe dọa xây dựng các tải trọng theo chương trình trên trang HTML bằng JavaScript, thay vì phải thực hiện yêu cầu HTTP để tìm nạp tài nguyên trên máy chủ web, đồng thời tránh các giải pháp bảo mật ngoại vi. Sau đó các HTML nhỏ giọt được sử dụng để tìm nạp phần mềm độc hại chính được thực thi trên các điểm cuối bị xâm phạm.

Hacker tăng cường sử dụng HTML trong các cuộc tấn công bằng phần mềm độc hại và lừa đảo

Các nhà nghiên cứu cho biết: “Khi người dùng mục tiêu mở HTML trong trình duyệt web của họ, trình duyệt sẽ giải mã tập lệnh độc hại, từ đó tập hợp tải trọng trên thiết bị chủ. "Do đó, thay vì có một tệp thực thi độc hại trực tiếp qua mạng, kẻ tấn công xây dựng phần mềm độc hại cục bộ đằng sau một bức tường lửa."

Khả năng vượt qua proxy web và cổng email của HTTP Smuggling đã khiến nó trở thành một phương pháp sinh lợi giữa các tổ chức và nhóm tội phạm mạng được nhà nước bảo trợ để cung cấp phần mềm độc hại trong các cuộc tấn công trong thế giới thực, Microsoft lưu ý.

Nobelium, nhóm đe dọa đằng sau vụ hack chuỗi cung ứng SolarWinds, được phát hiện đã tận dụng chính chiến thuật này để đưa ra một Báo hiệu tấn công Cobalt như một phần của cuộc tấn công dựa trên email tinh vi nhằm vào các cơ quan chính phủ, các tổ chức tư vấn, nhà tư vấn và các tổ chức phi chính phủ nằm trên 24 quốc gia, bao gồm cả Mỹ, vào đầu tháng 5 này.

Ngoài các hoạt động gián điệp, buôn lậu HTML cũng đã được chấp nhận cho các cuộc tấn công phần mềm độc hại ngân hàng liên quan đến trojan Mekotio, điều mà đối thủ gửi email spam có chứa một liên kết độc hại, khi được nhấp vào, sẽ kích hoạt tải xuống tệp ZIP, đến lượt nó, chứa một Trình tải xuống tệp JavaScript để truy xuất các tệp nhị phân có khả năng đánh cắp thông tin xác thực và ghi khóa.

Nhưng trong một dấu hiệu cho thấy các tác nhân khác đang chú ý và kết hợp chèn lậu HTML trong một chiến dịch email tháng 9 do DEV-0193 thực hiện đã bị phát hiện, lạm dụng cùng một phương pháp để cung cấp TrickBot. Các cuộc tấn công bao gồm một tệp đính kèm HTML độc hại, khi được mở trên trình duyệt web, sẽ tạo ra một tệp JavaScript được bảo vệ bằng mật khẩu trên hệ thống của người nhận, khiến nạn nhân cung cấp mật khẩu từ tệp đính kèm HTML ban đầu.

Làm như vậy sẽ bắt đầu thực thi mã JavaScript, sau đó sẽ khởi chạy lệnh PowerShell được mã hóa Base64 để liên hệ với máy chủ do kẻ tấn công kiểm soát để tải xuống phần mềm độc hại TrickBot, cuối cùng mở đường cho các cuộc tấn công tiếp theo ransomware.

"Sự gia tăng trong việc sử dụng tính năng nhập lậu HTML trong các chiến dịch email là một ví dụ khác về cách những kẻ tấn công tiếp tục tinh chỉnh các thành phần cụ thể của các cuộc tấn công của chúng bằng cách tích hợp các kỹ thuật trốn tránh cao", Microsoft lưu ý. "Việc áp dụng như vậy cho thấy cách thức các chiến thuật, kỹ thuật và thủ tục (TTP) từ các băng nhóm tội phạm mạng đến các tác nhân đe dọa xấu và ngược lại.

 Hương - Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Panasonic bị rò rỉ dữ liệu sau khi tin t...

03/12/2021 08:00:00 20
Nhà sản xuất điện tử tiêu dùng hàng đầu Nhật Bản vừa tiết lộ một vụ rò rỉ bảo mật, trong đó một bên ...

Lỗ hổng bảo mật nghiêm trọng được tìm th...

02/12/2021 08:00:00 17
Các nhà nghiên cứu bảo mật an ninh mạng vừa tiết lộ lỗ hổng bảo mật đến những 8 năm tuổi đã ảnh hưởn...

Lỗ hổng bảo mật đọc tập tin trái phép ản...

01/12/2021 08:00:00 16
Hiện đang có những bản vá không chính thức được phát hành ngay lập tức để vá một lỗ hổng bảo mật đã ...

Lỗ hổng bảo mật mới trong bộ cài đặt Win...

30/11/2021 12:00:00 80
Kẻ tấn công với quyền truy cập của quản trị viên có thể lợi dụng để chiếm hoàn toàn quyền kiểm soát ...

Cảnh báo – Trình cài Windows bị lỗ hổng ...

29/11/2021 08:00:00 231
Hacker đang tích cực khai thác một biến thể mới của lỗ hổng bảo mật leo thang đặc quyền được tiết lộ...

Báo cáo tiết lộ hàng loạt Google Cloud đ...

29/11/2021 12:00:00 87
au khi đạt được mục đích, hacker có thể nhanh chóng rời đi với số tiền điện tử mà chúng khai thác đư...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ