HTML smuggling е најновата тактика за сајбер криминал за која треба да бидете многу внимателни!

Компанијата за сајбер безбедност Menlo Labs, односно истражувачката група на Menlo Security предупредува за оживување на HTML smuggling, во кој злонамерните актери го заобиколуваат периметарот на безбедност со цел да состават злонамерни товари директно на машините на жртвите.

Menlo ја сподели веста заедно со откривањето на кампањата за HTML smuggling, која e наречеna ISOMorph, која ја користи истата техника што напаѓачите на SolarWinds ја користеа во нивната најнова кампања за спеарфишинг.

Нападот ISOMorph користи HTML smuggling за да ја исфрли својата прва фаза до компјутерот на жртвата. Бидејќи е „шверцуван“, капачот всушност се составува на таргетираниот компјутерот, што овозможува нападот целосно да ја заобиколи стандардниот периметар на безбедност. Откако ќе се инсталира, капачот ја зграпчува својата носивост, што го инфицира компјутерот со тројанци за далечински пристап (RATs) кои му дозволуваат на напаѓачот да ја контролира заразената машина и да се движи странично по компромитирана мрежа.

HTML smuggling функционира со искористување на основните карактеристики на HTML5 и JavaScript кои се присутни во веб-прелистувачите. Јадрото на експлоатацијата е двојна: го користи атрибутот за преземање HTML5 за преземање на злонамерна датотека што е прикриена како легитимна, а исто така користи и JavaScript капки на сличен начин. За напад со HTML smuggling може да се користи или едното или двете комбинирани.

Бидејќи датотеките не се создаваат додека не се најдат на целниот компјутер, мрежната безбедност нема да ги прикаже како злонамерни – сè што тоа гледа е сообраќајот HTML и JavaScript што лесно може да се замагли за да се скрие злонамерниот код.

МКД-ЦИРТ ги дава следниве препораки за заштита од HTML smuggling и други напади:

• Сегментирајте ги мрежите за да ја ограничите способноста на напаѓачот да се движи странично.
• Користете услуги како Microsoft Windows Attack Surface Reduction, што ги штити машините на ниво на ОС од извршување на малициозни скрипти и создавање невидливи child процеси.
• Поставете го правилно заштитениот ѕид за да го блокират сообраќајот од познатите малициозни домени или IP адреси.
• Обучете ги корисниците: Ваквите нападите бараат интеракција со корисникот за да се зарази машината, затоа бидете сигурни дека секој знае како да открие сомнително однесување и трикови на напаѓачите.

Извор: TechRepublic