El contrabando de HTML es la última táctica de ciberdelincuencia de la que debe preocuparse


Será difícil atrapar a estos contrabandistas, ya que están abusando de un elemento esencial de los navegadores world wide web que les permite ensamblar código en los puntos finales, sin pasar por la seguridad del perímetro.

istock-807196312.jpg

Imagen: oatawa, Getty Photos / iStockphoto

La empresa de ciberseguridad Menlo Labs, el brazo de investigación de Menlo Stability, advierte sobre el resurgimiento del contrabando de HTML, en el que los actores maliciosos eluden la seguridad del perímetro para ensamblar cargas útiles maliciosas directamente en las máquinas de las víctimas.

Menlo compartió la noticia junto con el descubrimiento de una campaña de contrabando de HTML que llamó ISOMorph, que utiliza la misma técnica que los atacantes de SolarWinds utilizaron en su campaña de phishing más reciente.

VER: Política de respuesta a incidentes de seguridad (TechRepublic Premium)

El ataque ISOMorph utiliza el contrabando de HTML para colocar su primera etapa en la computadora de la víctima. Debido a que se «pasa de contrabando», el cuentagotas en realidad se ensambla en la computadora del objetivo, lo que hace posible que el ataque eluda por completo la seguridad perimetral estándar. Una vez instalado, el cuentagotas toma su carga útil, que infecta la computadora con troyanos de acceso remoto (RAT) que permiten al atacante controlar la máquina infectada y moverse lateralmente en la crimson comprometida.

El contrabando de HTML funciona explotando las características básicas de HTML5 y JavaScript que están presentes en los navegadores internet. El núcleo del exploit es doble: utiliza el atributo de descarga de HTML5 para descargar un archivo malicioso disfrazado de legítimo, y también utiliza blobs de JavaScript de forma identical. Cualquiera de los dos, o ambos combinados, se pueden utilizar para un ataque de contrabando de HTML.

Debido a que los archivos no se crean hasta que están en la computadora de destino, la seguridad de la red no los detectará como maliciosos todo lo que ve es tráfico HTML y JavaScript que se puede ofuscar fácilmente para ocultar código malicioso.

El problema de la ofuscación de HTML se vuelve aún más serio ante el trabajo remoto generalizado y el alojamiento en la nube de las herramientas de trabajo cotidianas, a todas las cuales se accede desde el interior de un navegador. Citando datos de un informe de Forrester / Google, Menlo Labs dijo que el 75% del día laboral promedio se gasta en un navegador net, lo que, según dijo, está creando una invitación abierta a los ciberdelincuentes, especialmente a aquellos lo suficientemente inteligentes como para explotar navegadores débiles. «Creemos que los atacantes están usando HTML Smuggling para entregar la carga útil al punto closing porque el navegador es uno de los enlaces más débiles sin soluciones de red que lo bloqueen», dijo Menlo.

VER: Cómo administrar las contraseñas: mejores prácticas y consejos de seguridad (PDF gratuito) (TechRepublic)

Debido a que la carga útil se construye directamente en un navegador en la ubicación de destino, la seguridad perimetral típica y las herramientas de respuesta y monitoreo de terminales hacen que la detección sea casi imposible. Sin embargo, eso no quiere decir que la defensa contra los ataques de contrabando de HTML sea imposible, solo significa que las empresas deben asumir que la amenaza es actual y possible, y construir seguridad basada en esa premisa, sugiere la firma de ciberseguridad con sede en Reino Unido SecureTeam.

SecureTeam hace las siguientes recomendaciones para protegerse contra el contrabando de HTML y otros ataques que probablemente atraviesen con facilidad las defensas del perímetro:

  • Segmentar las redes para limitar la capacidad de un atacante de moverse lateralmente.
  • Utilice servicios como Microsoft Windows Assault Area Reduction, que protege las máquinas en el nivel del sistema operativo de ejecutar scripts maliciosos y generar procesos secundarios invisibles.
  • Asegúrese de que las reglas de firewall bloqueen el tráfico de dominios maliciosos conocidos y direcciones IP.
  • Capacitar a los usuarios: los ataques descritos por Menlo Stability requieren la interacción del usuario para infectar una máquina, así que asegúrese de que todos sepan cómo detectar comportamientos sospechosos y trucos de los atacantes.

Ver también



Enlace a la noticia primary