Duri-angrebskampagnen, der er lanceret af en ukendt hackinggruppe, har afsløret, at cyberkriminelle har udtænkt en ny indtrængningsteknik – HTML-smugling. Det giver hackere mulighed for at distribuere farlige nyttelaster ved at bruge detektionsunddragelse ved hjælp af sikkerhedsfunktioner.
HTML-smugling afsløret som en ny hackingsmetode: Opdaget via The Duri Attack Campaigm
I øjeblikket er der ingen oplysninger om identiteten af hackerne bag Duri-angreb; dog, undersøgelsen pågår. Opdagelsen af kampagnen blev gjort i Juli 2020 af Menlo sikkerhed, da eksperter opdagede et mistænkeligt downloadlink, der blev blokeret af et webbrowser-sikkerhedsfilter. Efter yderligere inspektion, det ser ud til, at dette ikke var en fil, men snarere en JavaScript-kode, der blev brugt til at installere ondsindede nyttelaster til målsystemet.
Denne JavaScript-kode blev brugt til at skjule den ondsindede fil i sig selv, sikkerhedseksperterne har kaldt denne teknik HTML-smugling. Dette er brugen af en kombination af flere programmeringssprog (HTML5 og JavaScript) for at generere URL'er med nyttelast til malware on-the-fly. Ved at misbruge denne teknik kan de kriminelle sende vira ud ved at servere filer direkte fra den påvirkede browser og ikke stole på en URL, der peger på en webhost. Brug denne Duri til at angribe transporteret malware er konstrueret i klientsiden browser og ingen objekter overføres over internettet — Dette betyder, at det er meget vanskeligere at opdage det ved kun at stole på nogle af de traditionelle sikkerhedsbeskyttelsesfunktioner.
A proof-of-concept-demonstration viser, hvordan et makroinficeret Word-dokument kan udformes i en JavaScript-kode. Ved at give adresser, der bruger en sådan kode, kan de kriminelle konstruere flere omdirigeringer, som kan føre til præsentation af farlige internetsider. HTML-smugling giver mulighed for meget bekvem distribution af webbaserede trusler:
- Ransomware — Dette er filkrypterende vira, som er designet til at kryptere brugerdata med en stærk ciffer. Normalt vælges de filer, der skal behandles, fra en liste med hacker. De fleste af truslerne i denne kategori omdøber ofre-filerne med en given udvidelse. Ofrene bliver udpresset til at betale et dekrypteringsgebyr, det er normalt i cryptocurrency-aktiver og skal forbindes til en sikker tegnebog-adresse.
- Trojan Horse Infektioner — Dette er virustrusler, der er designet til at indsætte en lokal klientmotor lydløst på computere. De opretter en sikker forbindelse til den hacker-kontrollerede server og giver dem mulighed for at overtage kontrollen.
- Cryptocurrency minearbejdere — Dette er web-scripts, der kan køres fra browservinduerne. De har til opgave at downloade og udføre performance-intensive opgaver. De lægger en tung vejafgift på de væsentlige hardwarekomponenter og kan gøre computeren fuldstændig ubrugelig. For hver afsluttet og rapporteret instans modtager de kriminelle betaling i digital cryptocurrency.
Ved hjælp af dette Duri-angreb kan de faldne nyttelaster placeres på en sådan måde, at de installeres som en vedvarende trussel. Dette betyder, at virussen automatisk starter, når computeren er tændt, og at den kan omgå de installerede sikkerhedstjenester.
Martin Beltov
Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.
Følg mig: