Microsoft publicó un anuncio por el incremento del uso de la técnica de HTML Smuggling (contrabando de HTML) por parte de los atacantes en campañas de phishing como medio para evadir la detección, obtener acceso inicial y desplegar una variedad de amenazas como son: malware bancario, troyanos de administración remota (RAT) y ransomware, entre otros. En particular, dicha técnica se observó en una campaña de phishing por parte del ciberactor NOBELIUM en mayo del presente año. Más recientemente, se ha detectado que los operadores detrás de Mekotio (troyano bancario) han hecho uso de esta técnica, así como AsyncRAT / NJRAT y Trickbot.

Como sugiere el nombre, HTML Smuggling permite a un atacante “contrabandear” un script malicioso codificándolo dentro de un archivo adjunto HTML o una página web especialmente diseñada, aprovechando las funciones básicas de HTML5 y JavaScript, en lugar de explotar una vulnerabilidad o un defecto de diseño en los navegadores de internet. Cuando la víctima ingresa al archivo HTML desde un navegador, éste decodifica el script malicioso que, a su vez, ensambla el payload (carga útil) en el dispositivo host; por lo que en lugar de que un ejecutable malicioso pase directamente a través de una red, el atacante crea el malware localmente detrás de un firewall.

Esta técnica evade los controles de seguridad perimetrales estándar, como proxies web y email gateways, que a menudo solo verifican archivos adjuntos sospechosos con extensiones exe, zip o docx, así como tráfico basado en firmas y patrones. Debido a que los archivos maliciosos se crean después de que el archivo HTML se carga en el punto final a través del navegador, los dispositivos de seguridad consideran válido el tráfico.

Nobelium, el grupo de ciberactores detrás del ataque de cadena de suministro SolarWinds, está aprovechando dicha técnica para entregar el payload Cobalt Strick Beacon como parte de un ataque basado en correo electrónico sofisticado dirigido a agencias gubernamentales, grupos de expertos, consultores y organizaciones no gubernamentales. También, se ha adoptado para los ataques de malware bancario que involucran al troyano Mekotio. Los adversarios envían correos electrónicos no deseados que contienen un enlace malicioso que, al ingresar al sitio web, desencadena la descarga de un archivo de extensión zip y, a su vez, contiene un archivo en JavaScript para recuperar binarios con capacidades de robo de credenciales y registros de teclado.

En el mes de septiembre se descubrió una campaña de correo electrónico llevada a cabo por DEV-0193 y que utiliza la misma técnica para entrar del malware TrickBot. Los ataques implican un adjunto HTML malicioso que, al abrirlo desde un navegador, crea un archivo JavaScript protegido con contraseña en el sistema del destinatario y solicita a la víctima que proporcione la contraseña del adjunto original. Al hacerlo, se inicia la ejecución del código JavaScript, que posteriormente ejecuta un comando de PowerShell codificado en base 64 para ponerse en contacto con el servidor controlado por un atacante para descargar el malware.

La mejor defensa es capacitar a los usuarios para que no abran archivos descargados a través de enlaces en correos electrónicos y archivos adjuntos. Todos estos archivos deben tratarse con precaución y revisarse cuidadosamente antes de abrir.

Referencias:

•    https://thehackernews.com/2021/11/hackers-increasingly-using-html.html
•    https://www.bleepingcomputer.com/news/security/microsoft-warns-of-surge-in-html-smuggling-phishing-attacks/
•    https://portswigger.net/daily-swig/html-smuggling-fresh-attack-technique-increasingly-being-used-to-target-banking-sector
•    https://www.microsoft.com/security/blog/2021/11/11/html-smuggling-surges-highly-evasive-loader-technique-increasingly-used-in-banking-malware-targeted-attacks/
•    https://latesthackingnews.com/2021/11/15/html-smuggling-attack-in-the-wild-targeting-the-banking-sector/