پیوست‌های HTML؛ همچنان تهدیدی خطرناک

بر اساس گزارشی که شرکت تراست‌ویو (Trustwave) منتشر کرده HTML و HTM از جمله فایل‌هایی که هستند که مهاجمان در پیوست ایمیل‌های فیشینگ خود از آنها بهره می‌گیرند.

در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه گردیده، گزارش مذکور مورد بررسی قرار گرفته است.

بر اساس این گزارش، پس از فایل‌های EXE.ا(12.84%)، ترکیب فایل‌های HTMLا(11.39%) و HTMا(2.7%) در مجموع 14.09 درصد، بیشترین سهم را در پیوست ایمیل‌های هرزنامه دارند.

در واقع تبهکاران سایبری، «سارق هویت» (Phisher) هستند و هدف اصلی آنها سرقت اطلاعات حساس (مانند اطلاعات اصالت‌سنجی و اطلاعات کارت‌های اعتباری)، اخاذی، دسترسی به منابع مالی قربانیان، خرید کالا یا دستیابی به سرویس و غیره می‌باشد.

به نقل از شرکت مایکروسافت (Microsoft)، گروه‌های تبهکاری نظیر DEV-0238 و DEV-0253 در حملات خود از فایل‌های HTML برای انتقال کی‌لاگرها (Keylogger) استفاده می‌کنند. مایکروسافت همچنین بکارگیری پیوست‌های HTML را به گروه مجرمان سایبری DEV-0193 جهت توزیع بدافزار Trickbot نسبت داده است.

 

حملات فیشینگ با بکارگیری پیوست‌های HTML

رایج‌ترین روش انتقال پیوست‌های HTML از طریق کارزارهای موسوم به فیشینگ (Phishing) می‌باشد. فایل HTML به طور کلی به خودی خود بی‌خطر است. با این وجود باید با آن با احتیاط برخورد کرد. این پیوست‌ها، صفحات ورود به سامانه (Sign-in page) را برای سرویس‌هایی نظیر مایکروسافت، گوگل یا صفحات بانکداری آنلاین شبیه‌سازی می‌کنند و این زمانی تبدیل به تهدید می‌شود که کاربر مورد کلاهبرداری قرار گرفته و اطلاعات اصالت‌سنجی خود را در آن صفحه وارد و آن را ارسال کند.

 

همانطور که در تصویر مشاهده می‌شود، پیوست‌های HTML که صفحه‌ای همانند صفحه ورود به حساب Microsoft ایجاد می‌کنند، نشانی ایمیل کاربر را به صورت پیش‌فرض (Hard-coded Email address) تعبیه و درج می‌کنند. این باعث می‌شود که قربانی به راحتی فریب خورده و قانع شود و اطلاعات اصالت‌سنجی خود را وارد کند.

در سطح کد منبع (Source level)، مهاجمان سطوح مختلفی از مبهم‌سازی را برای کد بکار می‌گیرند. کدهای JavaScript معمولاً با ابزارهای کد بازی (Open-source) نظیر JavaScript Obfuscator مبهم‌سازی می‌شوند. با این حال، فایل‌های HTML مستقل نیستند زیرا کتابخانه‌های jQuery ،CSS و کدهای JavaScript دیگری را از سرورهای مختلف وب از راه دور جهت مدیریت Object و اقدامات مربوط به فرم‌ها بکار می‌گیرند.

تعبیه نشانی ایمیل قربانی در صفحات ورود حساب کاربری موجب فریب کاربر شده به صورتی که تصور می‌کند قبلاً از طریق همین صفحه به حساب کاربری وارد شده و فقط کافی است رمز عبور خود را وارد کند.

در تصویر زیر پیوست HTML بکارگرفته شده در یکی از حملات فیشینگ، نشان داده شده است. این تصویر میزان مبهم بودن JavaScript را نشان می‌دهد.

در بیشتر موارد، فایل HTML کاملاً مستقل نیست. کد JavaScript تزریق شده به عنوان اسکریپت‌های inline معمولاً از یک سرور راه دور و ترکیبی از سرورهای CDNا(Content Delivery Network) معتبر یا از سرور تحت کنترل مهاجمان، بارگذاری می‌شود. معمولاً کد JavaScript که استخراج داده‌ها از طریق آن صورت می‌گیرد توسط سرور وب مهاجم میزبانی می‌شود (یا توسط آن سرور مدیریت می‌شود).

تحویل بدافزار با استفاده از پیوست‌های HTML قاچاقی

مهاجمان جهت دور زدن Gateway مربوط به ایمیل‌ها و انتقال بدافزار به کاربر، از پیوست‌های HTML به عنوان قاچاقچی استفاده می‌کنند. در این روش با بهره‌گیری از HTML 5 به صورت آفلاین با ذخیره یک باینری در یک متغیر غیرقابل تغییر  (Immutable) به نام blob در قالب یک کد JavaScript کار کند. هنگامی که فایل HTML از طریق مرورگر وب باز می‌شود، داده و قطعه کد blob رمزگشایی می‌شود. سپس نوار اعلان دانلود به کاربر نمایش داده شده و با ترکیبی از مهندسی اجتماعی، کاربر مورد نظر را فریب می‌دهد تا باینری مذکور را در دیسک ذخیره کند و آن را باز کند.

تصویر زیر نمونه‌ای از یک کارزار حاوی اسپم (کارزار Qakbot) می‌باشد که در آن از فایل HTML به عنوان پیوست استفاده شده است.

هنگامی که فایل HTML در مرورگر بارگذاری می‌شود، کد JavaScript را فراخوانی می‌کند که به نظر می‌رسد فایلی از یک سرور وب راه دور دانلود شده است. با این حال، کد منبع HTML که به عنوان قاچاقچی داده و قطعه کد blob عمل می‌کند، توسط کد JavaScript رمزگشایی شده و به یک فایل ZIP تبدیل می‌شود.

کد منبع HTML همانند تصویر زیر است:

در ادامه چرخه کلی حمله نشان داده شده است:

همانطور که می‌بینید، مبهم‌سازی ویژگی مشترک این پیوست‌های HTML است و حاکی از آن است که شناسایی این نوع تهدیدات بسیار دشوار است. اگرچه اکثر اوقات فایل‌های HTML در هنگام باز کردن بی‌خطر هستند، اما به دنبال اقدامات کاربر و هنگامی که با تکنیک‌های مهندسی اجتماعی ترکیب می‌شوند، به تهدیدی جدی تبدیل شده و منجر به موفقیت‌آمیز بودن این نوع حملات می‌شوند.

مشروح گزارش تراست‌ویو در لینک زیر قابل مطالعه است:

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/html-file-attachments-still-a-threat/

نشانه‌های آلودگی:

دامنه:

hxxps://valdia[.]quatiappcn[.]pw

 

hxxps://fatnaoacnsoxzssa[.]web[.]app/nyrsjhrgsdvxzzx/themes/css/435d220bee10a57b635805e70b50fd90nbr1657558944[.]css

 

hxxps://fatnaoacnsoxzssa[.]web[.]app/nyrsjhrgsdvxzzx/themes/css/2a4e8eea72f5947287e793a9b9355d9fnbr1657558944[.]css

 

hxxps://unpkg[.]com/axios@0[.]16[.]1/dist/axios[.]min[.]js

 

hxxps://fatnaoacnsoxzssa[.]web[.]app/nyrsjhrgsdvxzzx/themes/435d220bee10a57b635805e70b50fd90nbr1657558944[.]js

 

hxxps://unpkg[.]com/vue@2[.]6[.]11/dist/vue[.]min.js

 

hxxps://unpkg[.]com/vue-router@2[.]7[.]0/dist/vue-router[.]min[.]js

 

hxxps://cdnjs[.]cloudflare[.]com/ajax/libs/vuex/2[.]3[.]1/vuex[.]min[.]js

 

hxxps://ajax[.]googleapis[.]com/ajax/libs/jquery/3[.]2[.]1/jquery[.]min[.]js

 

hxxps://cdnjs[.]cloudflare[.]com/ajax/libs/vee-validate/2[.]0[.]0-rc[.]3/vee-validate[.]min[.]js

 

hxxps://cdnjs[.]cloudflare[.]com/ajax/libs/vue-i18n/7[.]0[.]3/vue-i18n[.]min[.]js

 

hxxps://unpkg[.]com/lodash@4[.]17[.]4/lodash[.]min[.]js

 

hxxps://cdnjs[.]cloudflare[.]com/ajax/libs/mobile-detect/1[.]3[.]6/mobile-detect[.]min[.]js

 

hxxps://fatnaoacnsoxzssa[.]web[.]app/nyrsjhrgsdvxzzx/themes/708d225d43415316016978101b90d070[.]js

 

درهم‌ساز:

Phishing HTML attachment         

SHA256: 8ac0f6c2c31934801c4c6ae5606997b5c84a59290287059ec8ea68754921899a  

 

ScannedDocuments_9720709.html.zip             

SHA256: e1c7c9ba81d2c8bd09b1cdc25ccb44e6763f8906486c5298c40efcb2133ad017  

 

ScannedDocuments_9720709.html: Qakbot       

SHA256: Cecfabcc1b8f0467a0f646d0a75bd3a94e71c1a2ca41380b75f3a60e7827d2b9  

 

ScannedDocuments_9720709.img: Qakbot     

SHA256: 1cbc3422305b203bba574a0d59263e377c61a198f229430131570045c59a3521

 

منبع:

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/html-file-attachments-still-a-threat/

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *