Microsoft cảnh báo số lượng các chiến dịch phishing sử dụng kỹ thuật HTML smuggling nhằm phân phối mã độc ngân hàng và trojan truy cập từ xa (RAT) đang gia tăng.
Mặc dù đây không phải là một kỹ thuật mới, Microsoft nhận định hacker đang ngày càng ưa chuộng sử dụng HTML smuggling để trốn tránh bị phát hiện. Đây cũng chính là công cụ được sử dụng bởi nhóm hacker đứng đằng sau vụ tấn công SolarWinds Nobelium.
Cách hoạt động của HTML smuggling
HTML smuggling là một kỹ thuật được sử dụng trong các chiến dịch phishing, lợi dụng HTML5 và JavaScript để ẩn các payload độc hại trong các chuỗi được mã hóa trong trang web hoặc tệp đính kèm HTML. Sau đó, các chuỗi này được trình duyệt giải mã khi người dùng mở tệp đính kèm hoặc nhấp vào liên kết.
Vì payload độc hại được mã hóa ngay từ ban đầu, nên nó không bị phát hiện. Hơn nữa, khi JavaScript tải payload trên hệ thống mục tiêu, nó sẽ vượt qua tường lửa và các biện pháp bảo mật.
Các trường hợp phát tán
Các nhà nghiên cứu của Microsoft cho rằng kỹ thuật này sử dụng trong các chiến dịch Mekotio phát tán trojan ngân hàng và cả trong các cuộc tấn công NOBELIUM có mục tiêu cao.
Các chiến dịch HTML smuggling cũng được sử dụng để thả trojan truy cập từ xa AsyncRAT, NJRAT hoặc trojan TrickBot được sử dụng để xâm phạm mạng và triển khai ransomware.
Các cuộc tấn công thường bắt đầu bằng email lừa đảo chứa liên kết HTML trong nội dung thư hoặc tệp HTML độc hại dưới dạng tệp đính kèm.
Nếu một trong hai được mở ra, một tệp ZIP sẽ bị thả xuống hệ thống bằng cách sử dụng kỹ thuật HTML smuggling. Tệp này chứa trình tải xuống tệp JavaScript chèn các tệp bổ sung từ máy chủ (C2) để cài đặt trên thiết bị của nạn nhân.
Trong một số trường hợp, các tệp ZIP được bảo vệ bằng mật khẩu để tránh bị phát hiện, đồng thời chống lại các biện pháp kiểm soát an ninh endpoint. Tuy nhiên, mật khẩu cũng được cung cấp trong tệp đính kèm HTML gốc, vì vậy nạn nhân đành phải nhập nó theo cách thủ công.
Khi tập lệnh được khởi chạy, lệnh PowerShell mã hóa base64 được thực thi để tải xuống và cài đặt trojan TrickBot hoặc phần mềm độc hại khác. Microsoft lần đầu tiên cảnh báo về sự gia tăng đột biến của phishing tháng 7 năm 2021, kêu gọi các quản trị viên nâng cao cảnh giác và bảo mật hệ thống.
Cách chống HTML smuggling
Microsoft lưu ý các quản trị viên về các dấu hiệu nhận biết HTML smuggling, bao gồm:
- Tệp ZIP đính kèm chứa JavaScript
- Tệp đính kèm được bảo vệ bằng mật khẩu
- Tệp HTML chứa mã lệnh đáng ngờ
- Tệp HTML giải mã Base64 hoặc làm xáo trộn JavaScript
Đối với endpoint, quản trị viên nên chặn hoặc kiểm tra hoạt động liên quan đến HTML smuggling, bao gồm:
- Chặn JavaScript hoặc VBScript khởi chạy nội dung thực thi đã tải xuống
- Chặn thực thi các tập lệnh có khả năng bị xáo trộn
- Chặn các tệp thực thi trừ khi chúng đáp ứng tiêu chí về mức độ phổ biến, độ tuổi hoặc danh sách đáng tin cậy
Ngoài những điều trên, người dùng có thể ngăn việc thực thi mã JavaScript tự động bằng cách liên kết các tệp .js và .jse với trình soạn thảo văn bản như Notepad.
Cuối cùng, cách bảo vệ tốt nhất là người dùng không mở các tệp được tải xuống qua liên kết trong email và tệp đính kèm. Tất cả các tệp được tải xuống từ email phải được xử lý thận trọng và kiểm tra cẩn thận trước khi mở.
Hơn nữa, nếu tệp đính kèm hoặc liên kết email tải xuống tệp đính kèm kết thúc bằng .js (JavaScript), nó sẽ không bao giờ được mở và tự động bị xóa.
Đáng tiếc, Windows đã vô hiệu hóa hiển thị đuôi tệp theo mặc định, khiến nó không được nhìn thấy trong nhiều trường hợp. Đây là lý do tại sao người dùng luôn được khuyến nghị xem các phần đuôi tệp để ngăn chặn việc không may nhấp vào các tệp độc hại.
Theo bleepingcomputer