De Duri-aanvalscampagne die is gelanceerd door een onbekende hackgroep, heeft onthuld dat cybercriminelen een nieuwe inbraaktechniek hebben bedacht – HTML-smokkel. Het stelt hackers in staat om gevaarlijke ladingen te verspreiden door gebruik te maken van detectie-ontwijking door beveiligingsfuncties.
HTML-smokkel onthuld als een nieuwe hackmethode: Ontdekt via The Duri Attack Campaigm
Op dit moment is er geen informatie over de identiteit van de hackers achter Duri-aanvallen; echter, het onderzoek is aan de gang. De ontdekking van de campagne werd gedaan in Juli 2020 door Menlo security, toen experts een verdachte downloadlink ontdekten die werd geblokkeerd door een beveiligingsfilter van een webbrowser. Bij nadere inspectie, het blijkt dat dit geen bestand was, maar eerder een JavaScript-code die werd gebruikt om kwaadaardige payloads naar het doelsysteem te distribueren.
Deze JavaScript-code werd gebruikt om het schadelijke bestand op zichzelf te verbergen, de beveiligingsexperts hebben deze techniek genoemd HTML-smokkel. Dit is het gebruik van een combinatie van verschillende programmeertalen (HTML5 en JavaScript) om on-the-fly URL's met malware-payloads te genereren. Door deze techniek te misbruiken kunnen de criminelen virussen verspreiden door bestanden rechtstreeks vanuit de getroffen browser te serveren en niet te vertrouwen op een URL die naar een webhost verwijst.. Gebruik deze Duri om de gedragen malware wordt geconstrueerd op de client-side browser en er worden geen objecten via internet verzonden — dit betekent dat het veel moeilijker is om het te detecteren door alleen te vertrouwen op enkele van de traditionele beveiligingsfuncties.
Een proof-of-concept demonstratie laat zien hoe een macro-geïnfecteerd Word-document kan worden gemaakt in een JavaScript-code. Door adressen te verstrekken die dergelijke code gebruiken, kunnen de criminelen meerdere omleidingen construeren die kunnen leiden tot de presentatie van gevaarlijke internetpagina's. HTML-smokkel zorgt voor een zeer gemakkelijke distributie van webgebaseerde bedreigingen:
- Ransomware — Dit zijn virussen voor het versleutelen van bestanden die zijn ontworpen om gebruikersgegevens met een sterk cijfer te versleutelen. Gewoonlijk worden de bestanden die moeten worden verwerkt, geselecteerd uit een door hackers gemaakte lijst. De meeste bedreigingen van deze categorie zullen de bestanden van de slachtoffers hernoemen met een bepaalde extensie. De slachtoffers worden dan afgeperst om een decoderingsvergoeding te betalen, het zit meestal in cryptocurrency-activa en moet worden aangesloten op een beveiligd portefeuilleadres.
- Trojan Horse Infecties — Dit zijn virusbedreigingen die zijn ontworpen om een lokale client-engine stil op de computers te implementeren. Ze brengen een veilige verbinding tot stand met de door hackers gecontroleerde server en stellen hen in staat de controle over te nemen.
- cryptogeld Mijnwerkers — Dit zijn webscripts die kunnen worden uitgevoerd vanuit de browservensters. Ze zijn belast met het downloaden en uitvoeren van prestatie-intensieve taken. Ze leggen een zware tol op de essentiële hardwarecomponenten en kunnen de computer volledig onbruikbaar maken. Voor elke voltooide en gemelde instantie ontvangen de criminelen een betaling in digitale cryptocurrency.
Met behulp van deze Duri-aanvalsbenadering kunnen de gedropte payloads zo worden geplaatst dat deze als een aanhoudende dreiging. Dit betekent dat het virus automatisch start wanneer de computer wordt ingeschakeld en dat het de geïnstalleerde beveiligingsservices kan omzeilen.