La campaña de ataque Duri, que ha sido lanzada por un grupo de piratería desconocido, ha revelado que los ciberdelincuentes han ideado una nueva técnica de intrusión. – Contrabando de HTML. Permite a los piratas informáticos distribuir cargas útiles peligrosas utilizando la evasión de detección mediante funciones de seguridad..
El contrabando de HTML se revela como un nuevo método de piratería: Descubierto a través de The Duri Attack Campaigm
Por el momento no hay información sobre la identidad de los hackers detrás de los ataques Duri.; sin embargo, la investigación está en curso. El descubrimiento de la campaña fue hecho en Julio 2020 por Menlo security, cuando los expertos detectaron un enlace de descarga sospechoso que fue bloqueado por un filtro de seguridad del navegador web. Tras una inspección adicional, parece que esto no era un archivo, sino más bien un código JavaScript que se utilizó para implementar cargas útiles maliciosas en el sistema de destino.
Este código JavaScript se utilizó para ocultar el archivo malicioso en sí mismo., los expertos en seguridad han llamado a esta técnica Contrabando de HTML. Este es el uso de una combinación de varios lenguajes de programación. (HTML5 y JavaScript) para generar URL con cargas útiles de malware sobre la marcha. Al abusar de esta técnica, los delincuentes pueden enviar virus al entregar archivos directamente desde el navegador afectado y no depender de una URL que apunte a un servidor web.. Usando este ataque Duri el El malware transportado se construye en el navegador del lado del cliente y no se transfieren objetos a través de Internet. — esto significa que es mucho más difícil de detectar confiando únicamente en algunas de las características tradicionales de protección de seguridad.
La demostración de prueba de concepto muestra cómo se puede crear un documento de Word infectado por macros dentro de un código JavaScript. Al proporcionar direcciones utilizando dicho código, los delincuentes pueden construir múltiples redireccionamientos que pueden conducir a la presentación de páginas de Internet peligrosas.. El contrabando de HTML permite una distribución muy conveniente de amenazas basadas en web:
- El ransomware — Estos son virus de cifrado de archivos que están diseñados para cifrar los datos del usuario con un cifrado fuerte. Por lo general, los archivos que se procesarán se seleccionarán de una lista creada por piratas informáticos. La mayoría de las amenazas de esta categoría cambiarán el nombre de los archivos de las víctimas con una extensión determinada.. Luego, las víctimas serán extorsionadas para que paguen una tarifa de descifrado., Por lo general, se encuentra en activos de criptomonedas y debe conectarse a una dirección de billetera segura..
- Infecciones Trojan Horse — Estas son amenazas de virus que están diseñadas para implementar un motor de cliente local de forma silenciosa en las computadoras. Establecerán una conexión segura con el servidor controlado por piratas informáticos y les permitirán tomar el control.
- Los mineros criptomoneda — Estos son scripts web que se pueden ejecutar desde las ventanas del navegador.. Tienen la tarea de descargar y ejecutar tareas de alto rendimiento.. Ponen un alto precio a los componentes esenciales del hardware y pueden dejar la computadora completamente inutilizable. Por cada instancia completada e informada, los delincuentes recibirán un pago en criptomoneda digital..
Usando este enfoque de ataque Duri, las cargas útiles sueltas se pueden colocar de tal manera que las instalen como un persistente amenaza. Esto significa que el virus se iniciará automáticamente cuando se encienda la computadora y puede omitir los servicios de seguridad instalados..