Исследователи Trustwave SpiderLabs недавно обнаружили фишинговую кампанию, использующую HTML-smuggling для обхода традиционных мер безопасности.
Атака начинается с фишингового письма, имитирующего уведомление American Express, которое перенаправляет на ведро Cloudflare R2, содержащее HTML-файл. В ходе расследования Trustwave также были обнаружены дополнительные фишинговые страницы, имитирующие такие бренды, как DocuSign и Microsoft. Этот файл загружает JavaScript-код, который декодирует фишинговую страницу в Base64-кодировке и отображает ее с помощью Blob URL. Blob URL позволяет злоумышленникам создавать и передавать вредоносные файлы непосредственно в браузере пользователя, обходя фильтры безопасности, которые обычно контролируют внешние загрузки.
Техника контрабанды HTML позволяет злоумышленникам генерировать вредоносные файлы на стороне клиента, что затрудняет их обнаружение. Поскольку эти файлы создаются локально в браузере, системам безопасности сложно их обнаружить. Этот метод не только помогает обойти традиционные средства защиты, но и позволяет скрытно распространять вредоносный контент, например, вредоносное ПО. По оценке Trustwave, поскольку фишинговые атаки все чаще используют HTML-контрабанду, эта техника, вероятно, станет растущей угрозой в эпоху «облачных» технологий. Злоумышленники, вероятно, продолжат совершенствовать этот подход, делая попытки фишинга более убедительными и трудно обнаруживаемыми.
Indicators of Compromise
URLs
- blob:https://pub-bbe243ba90f4462ea7249d1206164f64.r2.dev/013a95bc-e14b-40b6-9524-762cfa05262b
- https://csp.wsiz.pl/wp-admin/one.htm
- https://hyp.ekspar.com.tr/class/tmp/amex-fix2/res.php
- https://pub-bbe243ba90f4462ea7249d1206164f64.r2.dev/index.html
- https://www.imperauto.com.br/tmp/Y8Z57m
