A campanha de ataque Duri, que foi lançada por um grupo de hackers desconhecido, revelou que os cibercriminosos desenvolveram uma nova técnica de intrusão – Contrabando de HTML. Ele permite que os hackers distribuam cargas perigosas, utilizando evasão de detecção por recursos de segurança.
Contrabando de HTML revelado como um novo método de hacking: Descoberto por meio da campanha de ataque Duri
No momento, não há informações sobre a identidade dos hackers por trás dos ataques Duri; Contudo, a investigação está em andamento. A descoberta da campanha foi feito em Julho 2020 pela segurança Menlo, quando os especialistas detectaram um link de download suspeito que foi bloqueado por um filtro de segurança do navegador da web. Após uma nova inspeção, parece que este não era um arquivo, mas sim um código JavaScript que foi usado para implantar cargas maliciosas no sistema de destino.
Este código JavaScript foi usado para ocultar o arquivo malicioso em si, os especialistas em segurança chamam esta técnica Contrabando de HTML. Este é o uso de uma combinação de várias linguagens de programação (HTML5 e JavaScript) a fim de gerar URLs com cargas de malware dinamicamente. Ao abusar dessa técnica, os criminosos podem enviar vírus servindo arquivos diretamente de dentro do navegador afetado e não depender de um URL que aponta para um host da web. Usando este Duri, ataque o o malware transportado é construído no navegador do cliente e nenhum objeto é transferido pela Internet — isso significa que é muito mais difícil detectá-lo, dependendo apenas de alguns dos recursos de proteção de segurança tradicionais.
UMA demonstração de prova de conceito mostra como um documento do Word infectado por macro pode ser criado dentro de um código JavaScript. Ao fornecer endereços usando esse código, os criminosos podem construir vários redirecionamentos que podem levar à apresentação de páginas perigosas da Internet. O contrabando de HTML permite uma distribuição muito conveniente de ameaças baseadas na web:
- ransomware — Esses são vírus de criptografia de arquivos projetados para criptografar dados do usuário com uma criptografia forte. Normalmente, os arquivos que serão processados serão selecionados de uma lista criada por hackers. A maioria das ameaças desta categoria irá renomear os arquivos das vítimas com uma determinada extensão. As vítimas serão então extorquidas para pagar uma taxa de descriptografia, geralmente está em ativos de criptomoeda e deve ser conectado a um endereço de carteira seguro.
- Tróia Infecções cavalo — Essas são ameaças de vírus projetadas para implantar um mecanismo cliente local silenciosamente nos computadores. Eles estabelecerão uma conexão segura com o servidor controlado por hacker e permitirão que assumam o controle.
- Mineiros criptomoeda — Estes são scripts da web que podem ser executados a partir das janelas do navegador. Eles são encarregados de baixar e executar tarefas de alto desempenho. Eles causam um grande dano aos componentes essenciais de hardware e podem tornar o computador completamente inutilizável. Para cada instância concluída e relatada, os criminosos receberão o pagamento em criptomoeda digital.
Usando esta abordagem de ataque Duri, as cargas descartadas podem ser colocadas de forma a instalá-las como um ameaça persistente. Isso significa que o vírus iniciará automaticamente quando o computador for ligado e pode ignorar os serviços de segurança instalados.