27/07/21
Команда экспертов по безопасности компании Microsoft обнаружила продолжающуюся в течение нескольких недель спам-кампанию с использованием техники HTML smuggling для обхода систем безопасности электронной почты и доставки вредоносного ПО на устройства жертв.
HTML smuggling позволяет злоумышленникам собирать вредоносные файлы на устройствах пользователей с помощью HTML5 и JavaScript. Техника заключается в том, чтобы вставить вредоносную ссылку во вложенный в электронное письмо файл таким образом, чтобы при сканировании системами безопасности ни письмо, ни файл не выглядели вредоносными.
HTML smuggling предполагает использование различных атрибутов HTML, таких как «href» и «download», наряду с JavaScript-кодом для сборки вредоносного файла в браузере жертвы, когда она нажимает на ссылку. Идея заключается в том, чтобы указать ссылку через атрибут «href» на поток октетов, собираемый с помощью JavaScript внутри конечного файла, упомянутого в атрибуте «download».
Вышеописанная техника не является новой. Впервые она была описана в теории в середине 2010-х годов и используется киберпреступниками как минимум с 2019 года. Техника использовалась в 2020 году, и теперь о ней вновь сообщили эксперты Microsoft в связи с новой спам-кампанией, продолжающейся в течение нескольких недель. В ходе этой кампании с помощью HTML smuggling злоумышленники доставляют на системы жертв ZIP-архив с файлами, заражающими их банковским трояном Casbaneiro (Metamorfo).
По словам Microsoft, Microsoft Defender для Office 365 способен обнаруживать файлы, доставленные с помощью HTML smuggling. Тем не менее, компания все равно решила предупредить пользователей, не являющихся ее клиентами, не использующих системы безопасности электронной почты и не знакомых с данной техникой.
