安全研究人員最近進行的一項研究發現,網絡犯罪分子正越來越多地使用惡意的 HTML 文件來攻擊計算機。除此之外,Barracuda Networks 的研究還表明,惡意文件現在占到了通過電子郵件發送的所有 HTML 附件的一半以上。與去年相比,數量有明顯的增加。
爲防止網絡犯罪分子通過電子郵件連接 C2 服務器下載加密的惡意軟件、特洛伊木馬等文件,他們選擇使用 HTML 附件進行發送。
基于 HTML 郵件的釣魚詐騙由來已久,但人們并沒有意識到這一點,而且越來越多的人上當受騙。
盡管 HTML 文件仍然是 2022 年網絡釣魚詐騙中最常見的附件之一,但這表明該方法仍然是繞過垃圾郵件檢測軟件并向被攻擊目标傳送垃圾郵件的最有效方法之一。
那些使用網絡服務器或從網絡服務器接收 HTML 文檔的本地存儲設備,可以将 HTML 文檔渲染成一個多媒體網頁。HTML 文檔就是描述一個網頁的語義文檔,HTML 也可以描述一個網頁的内容。
當受害者收到使用 HTML 文件的網絡釣魚郵件時,他們經常會被引導到惡意網站,下載文件或可在其計算機的浏覽器中本地顯示網絡釣魚表格。
電子郵件安全軟件在收到郵件時,通常會忽略附件,因爲 HTML 不會對收件人構成威脅;因此,郵件就會被成功發送到受害者的收件箱中。
關于最近惡意 HTML 文件大量增加的原因,這似乎并不是黑客向許多受害者發送相同附件的大規模攻擊活動造成的。
爲了防止網絡攻擊,現在比以往任何時候都更需要使用适當的網絡安全措施。防止這類攻擊的關鍵是及時報告所發現的攻擊事件。
據報道,網絡犯罪團夥 DEV-0238 和 DEV-0253 也一直在使用該手法進行攻擊,通過 HTML 附件來傳遞鍵盤記錄器。網絡犯罪團夥 DEV-0193 通過也會通過 HTML 秘密傳輸 Trickbot 等惡意軟件。
攻擊者在釣魚攻擊中使用 HTML 附件進行攻擊
釣魚網站發送的附件最常見的是 HTML 類型附件。HTML 文件本身一般并沒有惡意代碼。這意味着它看起來可能是良性的,并且也不會向系統發送惡意代碼。盡管是這樣,我們還是建議謹慎對待這種附件。他們通過模仿微軟、谷歌或主要網上銀行等服務的登錄頁面,誘導用戶在表格中輸入他們的憑證并進行提交,從而導緻攻擊可以者接管他們的賬戶。
當在 HTML 附件中添加垃圾郵件表格以及使用重定向策略時,黑客通常會使用以下幾種方式來實施。這些戰術包括從簡單的重定向到混淆 JavaScript,僞裝網絡釣魚表格來竊取個人信息。
一個安全的電子郵件網關和防病毒解決方案可以很好的檢查電子郵件中的附件,看它們是否含有惡意的 URL、腳本或其他威脅。
大多數網絡犯罪攻擊都是由惡意的網絡釣魚或使用 HTML 附件中的 JavaScript 進行重定向進行的。這樣做是爲了避免被受害者發現。
考慮到惡意文件可能會損害你的設備和你的組織,确保你要采取必要的預防措施,使自己免受其害。當務之急是知道如何通過采取以下預防措施來防止攻擊的發生:
在這種情況下,你的電子郵件系統的基礎設施是非常重要的。反病毒軟件和防火牆應定期進行更新。此外,還必須要實施一個有效的行動來防止數據丢失。應該爲你的域名配置 DMARC 協議,将其作爲确保通信安全的最有效方式。
采用雙因素認證是非常有必要的,其次是基于多因素認證的零信任訪問。不過可以确定的是,即使你的員工被黑客攻擊、盜竊憑證,成爲網絡釣魚攻擊的受害者,他們也會得到保護。這是因爲系統會評估他們的憑證、設備、位置、時區和訪問曆史,限制違規的行爲。
我們應該認識到員工自身能夠識别和報告惡意 HTML 附件的重要性。員工必須要接受培訓,了解如何識别和報告來自未知來源的附件,特别是那些含有惡意軟件的附件。如果不加以防治,網絡安全威脅會給企業組織帶來嚴重的後果。
當然,在這種情況下,混淆是所有惡意的 HTML 附件的共同特征之一。我們必須要在電子郵件網關層來處理這樣的威脅,這表明它是非常的難以檢測。
