Los ciberdelincuentes utilizan cada vez más el contrabando de HTML en los ataques de malware y phishing

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

Los actores de amenazas están apostando a la técnica del contrabando de HTML, en las campañas de phishing como medio para obtener acceso inicial y desplegar una serie de amenazas, incluyendo malware bancario, troyanos de administración remota (RAT) y cargas útiles de ransomware.

El Equipo de Inteligencia de Amenazas de Microsoft 365 Defender, en un nuevo informe publicado el jueves, reveló que identificó infiltraciones que distribuían el troyano bancario Mekotio, backdoors como AsyncRAT y NjRAT, y el infame malware TrickBot. Los ataques en varias etapas -denominados ISOMorph- también fueron documentados públicamente por Menlo Security en julio de 2021.

El contrabando de HTML es un método que permite a un atacante “colar” droppers de primera etapa, a menudo scripts maliciosos codificados e incrustados en archivos adjuntos HTML o páginas web especialmente diseñadas, en una máquina víctima aprovechando las características básicas de HTML5 y JavaScript en lugar de explotar una vulnerabilidad o un defecto de diseño en los navegadores web modernos.

De este modo, el actor de la amenaza puede construir las cargas útiles de forma programada en la página HTML utilizando JavaScript, en lugar de tener que hacer una solicitud HTTP para obtener un recurso en un servidor web, y al mismo tiempo evadir las soluciones de seguridad del perímetro. Los droppers HTML se utilizan entonces para obtener el malware principal que se ejecutará en los puntos finales comprometidos.

La capacidad del contrabando HTTP para eludir los proxies web y las pasarelas de correo electrónico lo han convertido en un método lucrativo entre los actores patrocinados por el Estado y los grupos de ciberdelincuentes para distribuir malware en ataques del mundo real, señaló Microsoft.

Nobelium, el grupo de amenazas que está detrás del hackeo de la cadena de suministro de SolarWinds, fue descubierto aprovechando esta misma táctica para entregar un Cobalt Strike Beacon como parte de un sofisticado ataque basado en el correo electrónico dirigido a agencias gubernamentales, grupos de expertos, consultores y organizaciones no gubernamentales ubicadas en 24 países, incluyendo los Estados Unidos, a principios de mayo.

Más allá de las operaciones de espionaje, el contrabando de HTML también ha sido adoptado para los ataques de malware bancario que implican al troyano Mekotio, ya que los adversarios envían correos electrónicos de spam que contienen un enlace malicioso que, al hacer clic, desencadena la descarga de un archivo ZIP que, a su vez, contiene un descargador de archivos JavaScript para recuperar binarios capaces de robar credenciales y registrar el teclado.

Pero en una señal de que otros actores están tomando nota e incorporando el contrabando de HTML en su arsenal, se descubrió una campaña de correo electrónico realizada en septiembre por DEV-0193, que abusaba del mismo método para entregar TrickBot. Los ataques incluyen un archivo adjunto HTML malicioso que, al abrirse en un navegador web, crea un archivo JavaScript protegido por contraseña en el sistema del destinatario, solicitando a la víctima que proporcione la contraseña del archivo adjunto HTML original.

Al hacerlo, se inicia la ejecución del código JavaScript, que posteriormente lanza un comando PowerShell codificado en Base64 para ponerse en contacto con un servidor controlado por el atacante para descargar el malware TrickBot, lo que en última instancia allana el camino para los siguientes ataques de ransomware.

“El aumento del uso del contrabando de HTML en las campañas de correo electrónico es otro ejemplo de cómo los atacantes siguen refinando componentes específicos de sus ataques integrando técnicas altamente evasivas”, señaló Microsoft. “Esta adopción muestra cómo las tácticas, técnicas y procedimientos (TTPs) se filtran desde las bandas de ciberdelincuentes a los actores de amenazas maliciosas y viceversa. También refuerza el estado actual de la economía sumergida, en la que dichas TTP se convierten en productos básicos cuando se consideran eficaces”.

Info – Ciberseguridad Latam