Desde que Microsoft empezó a bloquear por defecto las macros en los documentos enviados por Internet, ha aumentado el uso de archivos HTML para distribuir programas maliciosos.
Las investigaciones de Trustwave Spiderlabs revelan un aumento del llamado «contrabando HTML», que utiliza atributos HTML5 que pueden funcionar sin conexión almacenando un binario en un bloque de datos inmutable dentro de código JavaScript. La carga útil incrustada se descodifica en un objeto de archivo cuando se abre a través de un navegador web.
Esto permite a los autores de las amenazas aprovechar la versatilidad de HTML en combinación con la ingeniería social para inducir al usuario a guardar y abrir la carga maliciosa. Las últimas campañas se han hecho pasar por marcas conocidas como Adobe Acrobat, Google Drive y Dropbox para aumentar las posibilidades de que los usuarios abran los archivos.
Entre las cepas de malware distribuidas figuran el troyano Qakbot y Cobalt Strike, una herramienta de pen testing de la que suelen abusar los actores de amenazas para sondear redes en busca de vulnerabilidades.
Los investigadores de seguridad Bernard Bautista y Diana Lopera escriben en el blog de Spiderlabs:
Esperamos ver malware más sofisticado distribuido a través de contrabando HTML con señuelos más convincentes que suplanten productos conocidos y trucos de ingeniería social, ofuscación compleja en el nivel HTML que evada la detección basada en firmas, y diversas secuencias de ataque que pueden requerir más interacción del usuario pero que pueden seguir siendo eficaces para obtener el acceso inicial.
Siempre recordamos a todo el mundo que se mantenga alerta en este panorama digital en constante cambio.
Puede leer más en el blog de Spiderlabs.
Fuente WEB | Editado Por CambioDigital OnLine