В последние три года одним из самых популярных средств доставки вредоносного ПО и других видов вредоносного кода стало рядовое вложение в электронном письме. В частности, вложения, написанные на языке гипертекстовой разметки HTML, все чаще используются для совершения многочисленных и все более изощренных киберпреступлений. Среди них кража персональных данных при помощи троянцев удаленного доступа (RAT), атаки программ-вымогателей и фишинговые схемы. Беспокойство вызывает то, что это не единичные случаи или массовые атаки, организованные одной и группой злоумышленников. Похоже, использование зараженных вирусом HTML-вложений в 2023 году стало излюбленной тактикой многочисленных хакеров-одиночек по всему миру.
Эту тактику иногда называют HTML Smuggling – в тех более изощренных сценариях, когда вредоносную нагрузку встраивают непосредственно в HTML-вложение. Технология известна давно и много раз использовалась киберпреступниками, но широкую известность получила благодаря кампании целевого фишинга, осуществленной известной хакерской группировкой NOBELIUM. В последние годы хакеры использовали эту технологию для доставки таких известных вредоносных программ, как одиозный банковский троянец Mekotio, Trickbot и AsyncRAT/NJRAT. Учитывая рост этого вида киберпреступности, а также тот факт, что каждая третья домашняя сеть в США оказывалась заражена тем или иным вредоносным ПО, важно понимать, как происходят атаки с использованием HTML-вложений (в том числе HTML Smuggling) и как от них защититься. В этой статье мы расскажем об HTML-вложениях и HTML Smuggling, чтобы вы могли чувствовать себя спокойно и уверенно при работе с электронной почтой.
Что такое вредоносные HTML-вложения?
Вредоносные HTML-вложения – это разновидность вредоносного ПО, которое обычно присылают пользователям в электронных письмах в качестве вложения. Первичная активация этого ПО происходит в тот момент, когда пользователь открывает инфицированный HTML-файл, вложенный в письмо. После этого пользователя при помощи внешних библиотек JavaScript перенаправляют на принадлежащий хакерам фишинговый веб-сайт или на страницу, содержащую контролируемый хакерами вредоносный контент, например на поддельную страницу авторизации. Чаще всего при нажатии на фишинговый HTML-файл открывается окно, похожее на всплывающее окно Microsoft. Пользователю предлагается ввести в этом окне какие-либо учетные данные, чтобы открыть вложенный в письмо от хакера HTML-файл. Как только пользователь вводит свои данные, они тут же попадают к хакерам, которые могут использовать их для совершения других киберпреступлений, в том числе кражи денег, подмены личности или вымогательства с помощью программ-шифровальщиков.
Что такое HTML Smuggling?
HTML Smuggling – это технически более сложная разновидность атаки через HTML-вложение с использованием языков HTML5 и JavaScript. Злоумышленники буквально контрабандой внедряют вредоносный код на компьютер своей жертвы с помощью специально созданного скрипта, который встроен в само HTML-вложение. Как только жертва атаки открывает вредоносное HTML-вложение в своем веб-браузере, браузер декодирует встроенный скрипт, который собирает вредоносную нагрузку непосредственно на устройстве жертвы. Таким образом, хакеры создают вредоносное ПО прямо на месте, находясь внутри файервола, установленного на компьютере жертвы.
Злоумышленники пользуются тем, что файлы HTML и JavaScript – это важная составная часть обычных процессов, задействованных в повседневной работе компьютера (личного или служебного), а потому не вызывают подозрений. В результате эта технология легко обходит стандартное защитное ПО (например, веб-прокси и почтовые шлюзы), которое проверяет только условно подозрительные типы вложений с расширениями вроде .exe, .zip или .docx и подвергает сигнатурному анализу только входящий трафик. Поскольку вредоносная программа создается уже после того, как браузер загрузил файл на устройство жертвы, стандартные защитные решения регистрируют только безобидный трафик HTML и JavaScript. А еще более совершенные технологии, доступные хакерам, такие как обфускация, позволяют им успешно скрывать свои вредоносные скрипты даже от более продвинутого защитного ПО.
В технологии HTML Smuggling используется атрибут download для анкорных ссылок и Blob-объекты JavaScript для сборки вредоносной нагрузки на устройстве жертвы. После нажатия на атрибут download HTML-файл автоматически загружает вредоносный файл, ссылка на который содержится в теге href. При использовании JavaScript происходит аналогичный процесс: Blob-объекты JavaScript содержат закодированные данные вредоносного файла, которые раскодируются при передаче в программный интерфейс JavaScript, который ожидает URL-адрес. Все это означает, что вредоносный файл автоматически загружается на устройство пользователя и собирается на нем при помощи кода JavaScript.
Другие виды вредоносных вложений в электронных письмах
Хотя HTML-файл – это один из самых популярных типов вложений для доставки вредоносных программ на устройство пользователя, важно знать и о других типах файлов, которые могут быть не менее опасны.
Файлы формата .exe
Мы уже упоминали о том, что файлы EXE, или исполняемые файлы, в операционной системе Windows – это популярный и хорошо известный вектор атак, которого следует опасаться. Если такой файл вложен в письмо (неважно, от доверенного отправителя или нет), не загружайте и не исполняйте его.
Файлы формата .iso
Файлы ISO обычно используются для хранения и передачи копий всего содержимого жесткого диска компьютера или дистрибутива операционных систем, таких как Apple или Windows. Поскольку Windows теперь может открывать такие файлы без участия дополнительного ПО, этот тип вредоносных вложений в последние годы обрел большую популярность. Если вам прислали такой файл на личную или служебную почту, и при этом вы не запрашивали копию всей системы и не собираетесь сегментировать диск, чтобы установить на свой компьютер несколько операционных систем, вам этот файл не нужен. В таком случае не загружайте его и удалите письмо из почтового ящика, поскольку оно почти наверняка содержит вредоносное ПО.
Файлы Microsoft Office
Поскольку файлы Microsoft Office (такие как .docx, .xlsx, .pptx) являются стандартными форматами делового документооборота по всему миру, они стали идеальным средством доставки всевозможного вредоносного ПО в различные организации. От таких файлов труднее всего защититься, поскольку они обычно прилагаются к письму с требованием срочно оплатить счет или с последним предупреждением о чем-либо, так что жертва обычно попадается на удочку и открывает файл.
Как защититься от вредоносных HTML-вложений
К счастью, есть целый ряд мер, которые помогут защититься от вредоносных HTML-вложений или уменьшить ущерб от них.
Система проверки и защиты электронной почты
Специализированная система проверки и защиты электронной почты – это первый рубеж обороны против вредоносных вложений и встроенных скриптов в электронных письмах. Однако, как мы уже отмечали, стандартных систем защиты недостаточно, чтобы сдерживать растущий вал угроз со стороны современных киберпреступников. Специалисты по кибербезопасности рекомендуют использовать антивирусное решение на основе искусственного интеллекта, которое использует статический анализ кода для проверки не только вложенных файлов, но и содержимого самого электронного письма. Мы предлагаем комплексное решение для онлайн-защиты Kaspersky Premium. Это решение подходит и для бизнеса, и для индивидуальных пользователей и удостоено множества наград. Воспользуйтесь премиум-пакетом, который включает консультации специалистов и круглосуточную техническую поддержку.
Жесткий контроль доступа
Если доступ к вашей системе имеют только ключевые сотрудники, то даже в случае взлома или утечки учетных данных ущерб от действий киберпреступников будет гораздо меньше. Убедитесь, что пользователи, у которых есть доступ к жизненно важным системам, используют многофакторную (MFA) или двухфакторную (2FA) аутентификацию. Это дополнительный способ укрепить стратегию кибербезопасности вашего предприятия и еще больше снизить риск утечки данных. Еще один надежный способ защитить важнейшие активы предприятия от ошибок сотрудников (особенно если они работают удаленно) – использовать виртуальную частную сеть VPN. Kaspersky VPN позволяет пользователям подключаться к серверам компании удаленно через зашифрованный цифровой туннель. Этот туннель защитит систему в любой точке мира от опасностей, связанных с использованием общедоступных сетей Wi-Fi и незащищенных интернет-подключений.
Тренинги по кибербезопасности и полезные навыки
Один из самых простых способов защитить ваши ценные активы от атак с помощью HTML-вложений – это привить сотрудникам (и себе самому) полезные навыки киберграмотности и научить распознавать подозрительные электронные письма, файлы и вложения. Сотрудники должны знать, что нельзя сообщать коллегам логин и пароль от служебного аккаунта и использовать одинаковый пароль для входа в разные приложения и аккаунты и что следует использовать только сложные пароли или парольные фразы (длиной 10-12 символов, состоящие из комбинации букв верхнего и нижнего регистра, цифр и специальных символов). Мы рекомендуем использовать менеджер паролей с функцией шифрования паролей и автозаполнения.
Часто задаваемые вопросы по HTML-вложениям
Что такое HTML-вложения?
HTML-вложения – это файлы, написанные на языке гипертекстовой разметки HTML и распространяемые через электронную почту в качестве вложений. В последние годы вредоносные HTML-вложения (вложения, содержащие встроенное вредоносное ПО или ссылки, написанные на языке JavaScript, на фишинговые веб-сайты) стали популярными у киберпреступников средствами обхода файервола и систем защиты электронной почты.
Могут ли HTML-файлы содержать вирусы?
Да, HTML-файлы могут содержать вирусы и другие виды вредоносного ПО, в том числе используемого злоумышленниками для фишинга и вымогательства. Такие виды кибератак называются атаками с помощью HTML-вложений или HTML Smuggling. При этом используются JavaScript-ссылки на поддельные окна авторизации или встроенное ПО, которое похищает учетные данные пользователя и конфиденциальные файлы.
Могут ли HTML-файлы быть опасными?
Да, HTML-файлы (включая вложения в электронных письмах) могут нанести большой вред вашей системе. В последние годы специалисты по кибербезопасности отмечают увеличение числа сложных атак, в которых для кражи личных данных используются вредоносные HTML-вложения. Такие типы атак часто называют HTML Smuggling.
Что такое HTML Smuggling?
HTML Smuggling – это все более популярный вид кибератак, в ходе которого злоумышленники с помощью языка гипертекстовой разметки (обычно HTML5) и JavaScript буквально контрабандой внедряют разные виды вредоносного ПО на устройство пользователя. Хакеры научились обходить стандартные протоколы защиты электронной почты и собирать вредоносные программы прямо на устройстве жертвы, внутри периметра, защищенного файерволом.
Статьи по теме:
- Что такое менеджеры паролей и насколько они безопасны?
- Что такое программы-вымогатели?
- Что такое спам и фишинг?
- Что такое троянские программы и каких типов они бывают?
Рекомендуемые продукты: