بر اساس گزارشی که شرکت تراستویو (Trustwave) منتشر کرده HTML و HTM از جمله فایلهایی که هستند که مهاجمان در پیوست ایمیلهای فیشینگ خود از آنها بهره میگیرند.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه گردیده، گزارش مذکور مورد بررسی قرار گرفته است.
بر اساس این گزارش، پس از فایلهای EXE.ا(12.84%)، ترکیب فایلهای HTMLا(11.39%) و HTMا(2.7%) در مجموع 14.09 درصد، بیشترین سهم را در پیوست ایمیلهای هرزنامه دارند.
در واقع تبهکاران سایبری، «سارق هویت» (Phisher) هستند و هدف اصلی آنها سرقت اطلاعات حساس (مانند اطلاعات اصالتسنجی و اطلاعات کارتهای اعتباری)، اخاذی، دسترسی به منابع مالی قربانیان، خرید کالا یا دستیابی به سرویس و غیره میباشد.
به نقل از شرکت مایکروسافت (Microsoft)، گروههای تبهکاری نظیر DEV-0238 و DEV-0253 در حملات خود از فایلهای HTML برای انتقال کیلاگرها (Keylogger) استفاده میکنند. مایکروسافت همچنین بکارگیری پیوستهای HTML را به گروه مجرمان سایبری DEV-0193 جهت توزیع بدافزار Trickbot نسبت داده است.
حملات فیشینگ با بکارگیری پیوستهای HTML
رایجترین روش انتقال پیوستهای HTML از طریق کارزارهای موسوم به فیشینگ (Phishing) میباشد. فایل HTML به طور کلی به خودی خود بیخطر است. با این وجود باید با آن با احتیاط برخورد کرد. این پیوستها، صفحات ورود به سامانه (Sign-in page) را برای سرویسهایی نظیر مایکروسافت، گوگل یا صفحات بانکداری آنلاین شبیهسازی میکنند و این زمانی تبدیل به تهدید میشود که کاربر مورد کلاهبرداری قرار گرفته و اطلاعات اصالتسنجی خود را در آن صفحه وارد و آن را ارسال کند.
همانطور که در تصویر مشاهده میشود، پیوستهای HTML که صفحهای همانند صفحه ورود به حساب Microsoft ایجاد میکنند، نشانی ایمیل کاربر را به صورت پیشفرض (Hard-coded Email address) تعبیه و درج میکنند. این باعث میشود که قربانی به راحتی فریب خورده و قانع شود و اطلاعات اصالتسنجی خود را وارد کند.
در سطح کد منبع (Source level)، مهاجمان سطوح مختلفی از مبهمسازی را برای کد بکار میگیرند. کدهای JavaScript معمولاً با ابزارهای کد بازی (Open-source) نظیر JavaScript Obfuscator مبهمسازی میشوند. با این حال، فایلهای HTML مستقل نیستند زیرا کتابخانههای jQuery ،CSS و کدهای JavaScript دیگری را از سرورهای مختلف وب از راه دور جهت مدیریت Object و اقدامات مربوط به فرمها بکار میگیرند.
تعبیه نشانی ایمیل قربانی در صفحات ورود حساب کاربری موجب فریب کاربر شده به صورتی که تصور میکند قبلاً از طریق همین صفحه به حساب کاربری وارد شده و فقط کافی است رمز عبور خود را وارد کند.
در تصویر زیر پیوست HTML بکارگرفته شده در یکی از حملات فیشینگ، نشان داده شده است. این تصویر میزان مبهم بودن JavaScript را نشان میدهد.
در بیشتر موارد، فایل HTML کاملاً مستقل نیست. کد JavaScript تزریق شده به عنوان اسکریپتهای inline معمولاً از یک سرور راه دور و ترکیبی از سرورهای CDNا(Content Delivery Network) معتبر یا از سرور تحت کنترل مهاجمان، بارگذاری میشود. معمولاً کد JavaScript که استخراج دادهها از طریق آن صورت میگیرد توسط سرور وب مهاجم میزبانی میشود (یا توسط آن سرور مدیریت میشود).
تحویل بدافزار با استفاده از پیوستهای HTML قاچاقی
مهاجمان جهت دور زدن Gateway مربوط به ایمیلها و انتقال بدافزار به کاربر، از پیوستهای HTML به عنوان قاچاقچی استفاده میکنند. در این روش با بهرهگیری از HTML 5 به صورت آفلاین با ذخیره یک باینری در یک متغیر غیرقابل تغییر (Immutable) به نام blob در قالب یک کد JavaScript کار کند. هنگامی که فایل HTML از طریق مرورگر وب باز میشود، داده و قطعه کد blob رمزگشایی میشود. سپس نوار اعلان دانلود به کاربر نمایش داده شده و با ترکیبی از مهندسی اجتماعی، کاربر مورد نظر را فریب میدهد تا باینری مذکور را در دیسک ذخیره کند و آن را باز کند.
تصویر زیر نمونهای از یک کارزار حاوی اسپم (کارزار Qakbot) میباشد که در آن از فایل HTML به عنوان پیوست استفاده شده است.
هنگامی که فایل HTML در مرورگر بارگذاری میشود، کد JavaScript را فراخوانی میکند که به نظر میرسد فایلی از یک سرور وب راه دور دانلود شده است. با این حال، کد منبع HTML که به عنوان قاچاقچی داده و قطعه کد blob عمل میکند، توسط کد JavaScript رمزگشایی شده و به یک فایل ZIP تبدیل میشود.
کد منبع HTML همانند تصویر زیر است:
در ادامه چرخه کلی حمله نشان داده شده است:
همانطور که میبینید، مبهمسازی ویژگی مشترک این پیوستهای HTML است و حاکی از آن است که شناسایی این نوع تهدیدات بسیار دشوار است. اگرچه اکثر اوقات فایلهای HTML در هنگام باز کردن بیخطر هستند، اما به دنبال اقدامات کاربر و هنگامی که با تکنیکهای مهندسی اجتماعی ترکیب میشوند، به تهدیدی جدی تبدیل شده و منجر به موفقیتآمیز بودن این نوع حملات میشوند.
مشروح گزارش تراستویو در لینک زیر قابل مطالعه است:
نشانههای آلودگی:
دامنه:
hxxps://valdia[.]quatiappcn[.]pw
hxxps://fatnaoacnsoxzssa[.]web[.]app/nyrsjhrgsdvxzzx/themes/css/435d220bee10a57b635805e70b50fd90nbr1657558944[.]css
hxxps://fatnaoacnsoxzssa[.]web[.]app/nyrsjhrgsdvxzzx/themes/css/2a4e8eea72f5947287e793a9b9355d9fnbr1657558944[.]css
hxxps://unpkg[.]com/axios@0[.]16[.]1/dist/axios[.]min[.]js
hxxps://fatnaoacnsoxzssa[.]web[.]app/nyrsjhrgsdvxzzx/themes/435d220bee10a57b635805e70b50fd90nbr1657558944[.]js
hxxps://unpkg[.]com/vue@2[.]6[.]11/dist/vue[.]min.js
hxxps://unpkg[.]com/vue-router@2[.]7[.]0/dist/vue-router[.]min[.]js
hxxps://cdnjs[.]cloudflare[.]com/ajax/libs/vuex/2[.]3[.]1/vuex[.]min[.]js
hxxps://ajax[.]googleapis[.]com/ajax/libs/jquery/3[.]2[.]1/jquery[.]min[.]js
hxxps://cdnjs[.]cloudflare[.]com/ajax/libs/vee-validate/2[.]0[.]0-rc[.]3/vee-validate[.]min[.]js
hxxps://cdnjs[.]cloudflare[.]com/ajax/libs/vue-i18n/7[.]0[.]3/vue-i18n[.]min[.]js
hxxps://unpkg[.]com/lodash@4[.]17[.]4/lodash[.]min[.]js
hxxps://cdnjs[.]cloudflare[.]com/ajax/libs/mobile-detect/1[.]3[.]6/mobile-detect[.]min[.]js
hxxps://fatnaoacnsoxzssa[.]web[.]app/nyrsjhrgsdvxzzx/themes/708d225d43415316016978101b90d070[.]js
درهمساز:
Phishing HTML attachment
SHA256: 8ac0f6c2c31934801c4c6ae5606997b5c84a59290287059ec8ea68754921899a
ScannedDocuments_9720709.html.zip
SHA256: e1c7c9ba81d2c8bd09b1cdc25ccb44e6763f8906486c5298c40efcb2133ad017
ScannedDocuments_9720709.html: Qakbot
SHA256: Cecfabcc1b8f0467a0f646d0a75bd3a94e71c1a2ca41380b75f3a60e7827d2b9
ScannedDocuments_9720709.img: Qakbot
SHA256: 1cbc3422305b203bba574a0d59263e377c61a198f229430131570045c59a3521
منبع: