Hacker nutzen zunehmend HTML-Schmuggel für Malware und Phishing-Angriffe

  • Bedrohungsakteure setzen zunehmend auf die Technik des HTML-Schmuggels in Phishing-Kampagnen, um sich einen ersten Zugang zu verschaffen und eine Reihe von Bedrohungen wie Banking-Malware, Remote-Administrations-Trojaner (RATs) und Ransomware-Nutzdaten zu installieren.

    Das Microsoft 365 Defender Threat Intelligence Team hat in einem neuen Bericht, der am Donnerstag veröffentlicht wurde, Infiltrationen identifiziert, die den Mekotio-Bankentrojaner, Backdoors wie AsyncRAT und NjRAT sowie die berüchtigte TrickBot-Malware verbreiten. Die mehrstufigen Angriffe – genannt ISOMorph – wurden im Juli 2021 auch von Menlo Security öffentlich dokumentiert.

    [Blocked Image: https://thehackernews.com/images/-HgiHdbUpRRQ/YVHQqGahs-I/AAAAAAAA4Zw/NYGHBa999kAbbWpf3DZihmdmxCK2WjzgwCLcBGAsYHQ/s300-e100/rewind-2-300.png]

    HTML-Schmuggel ist ein Ansatz, der es einem Angreifer ermöglicht, Dropper der ersten Stufe, oft verschlüsselte bösartige Skripte, die in speziell gestaltete HTML-Anhänge oder Webseiten eingebettet sind, auf den Rechner eines Opfers zu “schmuggeln”, indem er grundlegende Funktionen von HTML5 und JavaScript nutzt, anstatt eine Schwachstelle oder einen Designfehler in modernen Webbrowsern auszunutzen.

    Auf diese Weise kann der Bedrohungsakteur die Nutzdaten programmatisch auf der HTML-Seite mithilfe von JavaScript erstellen, anstatt eine HTTP-Anfrage zu stellen, um eine Ressource auf einem Webserver abzurufen, und gleichzeitig Sicherheitslösungen am Rande des Netzes zu umgehen. Die HTML-Dropper werden dann zum Abrufen der primären Malware verwendet, die auf den kompromittierten Endpunkten ausgeführt wird.

    [Blocked Image: https://thehackernews.com/new-images/img/a/AVvXsEi5v9FILuMOgr4ZMA4ME_6kvoPGuLLnLw6A3I4FbSXx9-PcbAww4ua7yIPuyfGcDlAtclNpyaYgfsxVYddskxdGbuRlUDqBo8m4rwuNiDYMSywVvh-XHCva1pIX855_KB-AaZFc53Mqn4fNLHeGZCVQbiUeUryMExZuzlAQvlkwXImgjWM6jN1NSXV2=s728-e1000]In der Mekotio-Kampagne beobachtetes Bedrohungsverhalten

    “Wenn ein Zielbenutzer die HTML-Datei in seinem Webbrowser öffnet, dekodiert der Browser das bösartige Skript, das wiederum die Nutzlast auf dem Host-Gerät zusammenstellt”, so die Forscher. “Anstatt also eine bösartige ausführbare Datei direkt über ein Netzwerk zu übertragen, erstellt der Angreifer die Malware lokal hinter einer Firewall.

    Die Fähigkeit von HTTP Smuggling, Web-Proxys und E-Mail-Gateways zu umgehen, hat es zu einer lukrativen Methode für staatlich gesponserte Akteure und cyberkriminelle Gruppen gemacht, um Malware in realen Angriffen zu verbreiten, so Microsoft.

    Nobelium, die Bedrohungsgruppe, die hinter dem SolarWinds-Supply-Chain-Hack steckt, nutzte genau diese Taktik, um einen Cobalt Strike Beacon als Teil eines ausgeklügelten E-Mail-basierten Angriffs zu verbreiten, der auf Regierungsbehörden, Denkfabriken, Berater und Nichtregierungsorganisationen in 24 Ländern, darunter die USA, abzielte.

    [Blocked Image: https://thehackernews.com/images/-IEYNFQGK7qQ/YYAPZOIicJI/AAAAAAAA4fY/aOIV9neLHcErsONS5wN7zGTICukuMhO8wCLcBGAsYHQ/s728-e100/csec-inside-2-728.jpg]

    Neben Spionageoperationen wurde HTML-Schmuggel auch für Banking-Malware-Angriffe mit dem Mekotio-Trojaner eingesetzt. Dabei versenden die Angreifer Spam-E-Mails mit einem bösartigen Link, der beim Anklicken den Download einer ZIP-Datei auslöst, die wiederum einen JavaScript-Dateidownloader enthält, um Binärdateien abzurufen, die den Diebstahl von Anmeldedaten und Keylogging ermöglichen.

    [Blocked Image: https://thehackernews.com/new-images/img/a/AVvXsEgBI6yhN6rHcG6x9h5r2VObZLWVbYm0fUZJsNCV2lQtUHwZrZC2qwnMBKxozKGLQ49suARbCjkyq_Qe3pCy0OxsrgqNuoYN-NdF_3UV-B-eqwxXog3wheIw9bm1W9ATfxH52zomKfcOQKvyjUi8NClHz6umX922cQfbU-oCLknqzWatTITvVdGQ-XSQ=s728-e1000]HTML-Schmuggel-Angriffskette in der Trickbot-Speerphishing-Kampagne

    Als Zeichen dafür, dass auch andere Akteure aufmerksam werden und HTML-Schmuggel in ihr Arsenal aufnehmen, wurde im September eine von DEV-0193 durchgeführte E-Mail-Kampagne aufgedeckt, bei der dieselbe Methode zur Verbreitung von Trickbot genutzt wurde. Die Angriffe beinhalten einen bösartigen HTML-Anhang, der, wenn er in einem Webbrowser geöffnet wird, eine passwortgeschützte JavaScript-Datei auf dem System des Empfängers erstellt und das Opfer auffordert, das Passwort aus dem ursprünglichen HTML-Anhang einzugeben.

    Dadurch wird die Ausführung des JavaScript-Codes initiiert, der anschließend einen Base64-kodierten PowerShell-Befehl startet, um einen vom Angreifer kontrollierten Server zu kontaktieren und die TrickBot-Malware herunterzuladen, was letztlich den Weg für nachfolgende Ransomware-Angriffe ebnet.

    “Die zunehmende Verwendung von HTML-Schmuggel in E-Mail-Kampagnen ist ein weiteres Beispiel dafür, wie Angreifer bestimmte Komponenten ihrer Angriffe immer weiter verfeinern, indem sie hochgradig ausweichende Techniken integrieren”, so Microsoft. “Eine solche Übernahme zeigt, wie Taktiken, Techniken und Verfahren (TTPs) von Cyberkriminellen auf bösartige Bedrohungsakteure übergehen und umgekehrt. Dies unterstreicht auch den derzeitigen Zustand der Untergrundwirtschaft, in der solche TTPs zur Massenware werden, wenn sie als effektiv erachtet werden.”

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com