El contrabando de HTML es una técnica sofisticada utilizada por los actores de amenazas para distribuir malware mediante la incorporación de JavaScript malicioso en archivos HTML aparentemente inofensivos.
Este método explota características de HTML5 y JavaScript para permitir al atacante construir una carga útil directamente en la máquina de la víctima cuando se abre el archivo HTML.
Los investigadores de Trustwave SpiderLabs identificaron recientemente que los piratas informáticos están explotando activamente técnicas de contrabando de HTML para generar sofisticadas páginas de phishing.
Los piratas informáticos aprovechan las técnicas de contrabando de HTML
Los investigadores descubrieron una “sofisticada campaña de phishing” que utilizaba “contrabando de HTML”. El vector de ataque comienza con un correo electrónico que se hace pasar por “American Express” y que contiene un enlace en el que se puede hacer clic y que actúa como un “redirector”.
Seminario web gratuito sobre cómo proteger su pequeña empresa de las ciberamenazas avanzadas -> Registro gratuito
Esta primera redirección condujo a un segundo redirector, que finalmente apuntó al depósito público “Cloudflare R2” que aloja los “archivos HTML”.
Página de phishing HTML BLOB generada (Fuente: Trustwave)
'JavaScript' aprovechó el 'contrabando de HTML' codificando la página de phishing real como una larga 'cadena Base64'. Cuando se ejecuta, un script que utiliza la “función atob()'' decodificará la “cadena Base64'' en “HTML'' simple.
Cadena de ataque (Fuente – Trustwave)
Luego, cree un “objeto Blob” a partir del “HTML decodificado”, genere una “URL BLOB” usando “window.URL.createObjectURL()” y copie este contenido en “window.URL.createObjectURL()” en el archivo actual. ventana del navegador. ubicación.href”
Al entregar cargas útiles maliciosas como HTML y JavaScript aparentemente benignos, los atacantes eluden ciertas medidas de seguridad. Este mecanismo completo permite a un atacante revelar la verdadera página de phishing cuando se ejecuta en el lado del cliente.
Todo el proceso muestra una cadena de ataque de “varias etapas” diseñada específicamente para evadir la detección y brindar una experiencia de phishing convincente a las víctimas potenciales.
Las “URL y URI de BLOB” son direcciones web temporales que hacen referencia a datos binarios almacenados en un objeto BLOB.
Estos objetos brindan al atacante flexibilidad para manejar archivos y medios dentro de un navegador web.
Sin embargo, los actores de amenazas explotan esta tecnología mediante el “contrabando de HTML”, que genera archivos maliciosos directamente en el “navegador del usuario” en lugar de “descargarlos desde un servidor”.
Este método crea un “archivo del lado del cliente” que ayuda a eludir las medidas de seguridad que monitorean el “contenido entrante del lado del servidor”.
Además de esto, el contrabando de HTML permite la distribución encubierta de cargas dañinas disfrazadas de datos benignos.
La creación y procesamiento de archivos localmente utilizando URL BLOB permite a los atacantes realizar operaciones encubiertas que son difíciles de descubrir o rastrear.
Esta técnica es especialmente efectiva en la era de la nube, ya que evade los escáneres de correo electrónico, la protección de terminales y otras herramientas de seguridad al ocultar contenido de phishing dentro de archivos HTML aparentemente inofensivos.
Este proceso normalmente implica incrustar código JavaScript ofuscado que, cuando se ejecuta, utiliza una URL BLOB para generar e implementar una carga útil maliciosa. Este proceso completo dificulta la detección.
Analice enlaces sospechosos utilizando la nueva herramienta de navegación segura de ANY.RUN: pruébela gratis
Hackers Abuse HTML Smuggling Technique To Deliver Sophisticated Phishing Page
