HTML smuggling использует атрибуты HTML5, которые могут работать в автономном режиме, храня двоичный файл в неизменяемом блоке данных в коде JavaScript. Этот блок данных, или встроенная полезная нагрузка, при открытии через веб-браузер декодируется в файловый объект. Угрожающие субъекты используют универсальность HTML в сочетании с социальной инженерией, чтобы заманить пользователя сохранить и открыть вредоносную полезную нагрузку.
Последние кампании выдают себя за известные бренды, такие как Adobe Acrobat, Google Drive и Dropbox, чтобы увеличить вероятность того, что пользователи откроют архивы.
Среди семейств вредоносных программ, распространяемых с помощью этого типа атак, можно назвать следующие:
- Qakbot
- IcedID
- Cobalt Strike
- Xworm RAT
Indicators of Compromise
IPv4
- 165.22.48.183
- 5.42.199.235
URLs
- http://165.22.48.183/common?chunk=false
- http://5.42.199.235/dll/dll2.txt
- http://5.42.199.235/pe/Pe.txt
- https://beautiful-elion.68-64-160-26.plesk.page/weslle.txt
- https://huhuwarcanoefestival.com/iSx1Ch/0509.html
- https://purepowerinc.net/nluGZ/082.html
SHA1
- 07251deafd605437a25d51428aade79255036d49
- 0afe54c016f4770ad2a8690ef9a06b1f53804215
- 0d17a7f60f7f5a6d5e00ed23635dd4998a5df307
- 15f8a879534143a4169c6ecd1d56132d1908443d
- 207b87124f8abe2226251eb84f033e8642418fb1
- 23b950b209cb16b084cad87c006dc7691c60dc40
- 35b9fd8856edd443a4e27727c54dd135e26220bd
- 4b9d2f4b80ef9578711c569524694905012a8080
- 55781d120a91b71da2c51ed3657a73e819493f38
- 63adbabf3dfde36e745f4c42979260a2e946848c
- 702631c91a8fe86b2e75f4a6b089d00b7762ff1b
- 78542b48745136d9e77896ec77c7613c4386ad81
- 7a7e76553dafc2c1b6a0d804aa540ab7a80fd77b
- 8cb57a7e1e929c48716974edf55df2e9456d1443
- b5da32a803b31d769d4d330e9c923d8c2dc5da1f
- b6b61511ea7a36015f8002922bc20ad1f42234ab
- b79ff504eb6ec509b8b6b870dc2f0113825d859b
- ce4611b2d2e326ff7b37acdc10636f0dcd9439ba
- cffb01d11245792b5498c051603a279b0ad1930d
- d92b31ddf25e30e7cc34239bf45c7ec913b713c4
- df3f2f97383d4ae897b3197e8d07f474f651a053
- e318c01fcd1f711fd063e845ca2431012086658f
- ed67cb8a6c44871ec6ffb6517d77b5e84f00b399
- efd195d8ef795e123bb1c1faee77459a781c003e
- fbc916f065157cc5a13f22453c19f7dfecc3c228