La nueva campaña &#39Duri&#39 utiliza el contrabando de HTML para ofrecer …



Los investigadores que detectaron el ataque explican qué deben saber las empresas sobre la técnica de contrabando de HTML.

Una nueva campaña de ataque utiliza el contrabando de HTML y blobs de datos para enviar malware a las máquinas de las víctimas y, al mismo tiempo, eludir las soluciones de seguridad de purple, incluidos los entornos sandbox y los proxies heredados.

Este ataque en certain, apodado Duri por los investigadores de Menlo Protection que lo descubrieron, se detectó por primera vez a principios de julio de este año y actualmente está activo. El equipo identificó la visita de un usuario a un sitio world wide web y notó que la descarga del archivo posterior se marcó como sospechosa y luego se bloqueó. Un análisis más detallado reveló que el archivo se descargó mediante el contrabando de HTML.

El objetivo del contrabando de HTML es aprovechar las funciones de HTML5 / JavaScript para ofrecer descargas de archivos. Los atacantes pueden implementar la descarga usando URL de datos en el dispositivo cliente, o pueden crear un blob JavaScript con el tipo MIME correcto, lo que da como resultado una descarga en el dispositivo de destino.

«Con Duri, toda la carga útil se construye en el lado del cliente (navegador), por lo que no se transfieren objetos a través del cable para que la caja de arena los inspeccione», afirman los investigadores en un informe. En este caso, dicen, se vio a los atacantes usando la técnica de blob de JavaScript para pasar de contrabando archivos maliciosos a través del navegador al punto ultimate del objetivo.

Cómo se desarrolla esto: cuando un usuario hace clic en un enlace, hay varias redirecciones antes de que esa persona llegue a una página HTML alojada en duckdns (.) Org. Esto solicita un JavaScript en línea, que luego inicializa los datos para un objeto BLOB desde una variable codificada en base64. Se crea un archivo .zip a partir del objeto blob y se descarga en el punto final. El usuario debe abrir y ejecutar el archivo .zip, que contiene un archivo MSI e indica que es un instalador de Microsoft Windows.

Los investigadores señalan que el malware implementado no es una nueva amenaza. Sin embargo, no están en un punto en el que puedan revelar la familia de malware y / o quién podría estar detrás de esta campaña de ataque.

«El malware que descarga Duri no es nuevo», ellos dicen. «Según Cisco, anteriormente se entregaba a través de Dropbox, pero los atacantes ahora han desplazado a Dropbox con otros proveedores de alojamiento en la nube y se han combinado con la técnica de contrabando de HTML para infectar terminales».

La técnica de contrabando de HTML tampoco es nueva ni novedosa, dice Krishnan Subramanian, investigador de seguridad de Menlo Labs. Esta es simplemente la última instancia de una técnica de ataque que resulta efectiva para los intrusos cada vez más astutos que quieren eludir los productos de seguridad.

«No se está aprovechando ninguna debilidad o vulnerabilidad de seguridad esa es la premisa de este ataque», explica Subramanian. «Hace uso de las funciones legítimas de los protocolos HTTP, específicamente HTML5 y API de JavaScript, para infiltrar archivos maliciosos».

Las herramientas de seguridad de red tradicionales, como proxies, firewalls y sandboxes, dependen de la transferencia de objetos a través del cable para marcar la actividad maliciosa. Es posible que se le indique a una caja de arena que extraiga ciertos objetos de archivos (por ejemplo, .exe o .zip) para detonarlos y analizarlos más a fondo. El contrabando de HTML permite a los atacantes eludir las capas de inspección de contenido que identifican descargas de archivos maliciosos.

Los investigadores anticipan que los atacantes seguirán dependiendo del contrabando de HTML mientras ajustan sus tácticas para eludir las herramientas de seguridad, lo que obliga a las víctimas a depender de un enfoque de «detección y respuesta» para ponerse al día.

«Estos tipos de ataques demuestran que el panorama de amenazas se está volviendo cada vez más complejo», dice Subramanian.

Kelly Sheridan es la editora de individual de Dark Reading through, donde se enfoca en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic