Οι χρήστες των email εδώ και καιρό σκέφτονται τα executable και τα .dll attachments ως το κύριο επίκεντρο όταν προκύπτουν επιθέσεις στον κυβερνοχώρο, αλλά μπορεί να υπάρχει και ένας άλλος τύπος κακόβουλου αρχείου που χρησιμοποιείται συχνά. Σύμφωνα με ευρήματα από την εταιρεία ασφάλειας IT Barracuda Networks, τα συνημμένα HTML χρησιμοποιούνται από τους χάκερ περισσότερο όταν πρόκειται για επιθέσεις στον κυβερνοχώρο και το 21% όλων των συνημμένων HTML που σαρώθηκαν από την εταιρεία βρέθηκαν να είναι κακόβουλα.
«Αυτές οι επιθέσεις είναι δύσκολο να εντοπιστούν επειδή τα ίδια τα συνημμένα HTML δεν είναι κακόβουλα», έγραψε η Olesia Klevchuk, κύρια υπεύθυνη μάρκετινγκ προϊόντων για το email security στη Barracuda Networks. “Οι εισβολείς δεν περιλαμβάνουν κακόβουλο λογισμικό στο ίδιο το συνημμένο, αλλά χρησιμοποιούν πολλαπλά redirects με Java script libraries που φιλοξενούνται αλλού.”
Τα συνημμένα HTML χρησιμοποιούνται συνήθως στην επικοινωνία μέσω email. Αυτά είναι ιδιαίτερα κοινά σε αναφορές ηλεκτρονικού ταχυδρομείου που δημιουργούνται από το σύστημα που ενδέχεται να λαμβάνουν οι χρήστες σε τακτική βάση. Αυτά τα μηνύματα περιλαμβάνουν συνδέσμους URL προς την πραγματική αναφορά.
Τα συνημμένα HTML χρησιμοποιούνται ευρύτερα λόγω των επιθέσεων που είναι πιο δύσκολο να εντοπιστούν τόσο από τους χρήστες όσο και από τα συστήματα. Στο παράδειγμα που παρέχεται από την Barracuda, το ίδιο το συνημμένο HTML δεν είναι κακόβουλο, αλλά τελικά οδηγεί τον χρήστη σε έναν κακόβουλο ιστότοπο.
Τα συνημμένα HTML σχεδόν διπλασιάζουν την ταχύτητα του επόμενου τύπου αρχείου που βρέθηκε ότι ήταν κακόβουλο. Δείτε παρακάτω και τους άλλους τύπους κακόβουλων αρχείων:
- Text (9%)
- XHTML (4%)
- Binaries (0.3%)
- Scripts (0.08%)
- Rtf (0.04%)
- MS Office (0.03%)
- PDF (0.009%)
Αυτό που μάθαμε λοιπόν είναι ότι τα συνημμένα HTML είναι ο πιο δημοφιλής τύπος κακόβουλου αρχείου που χρησιμοποιείται από τους χάκερ, αλλά πώς λειτουργεί αυτό;
Η Barracuda διαπίστωσε ότι οι χάκερ έχουν ενσωματώσει κακόβουλα αρχεία HTML σε μηνύματα ηλεκτρονικού ταχυδρομείου που λαμβάνουν τακτικά οι χρήστες, όπως ένα link προς μια αναφορά. Στην πραγματικότητα, αυτό είναι ένα phishing email με μια επιβλαβή διεύθυνση URL συνδεδεμένη σε αυτό. Μέσω αυτής της μεθόδου, οι κυβερνοεγκληματίες δεν απαιτείται πλέον να τοποθετούν links στο σώμα ενός email, κάτι που καθιστά εύκολο τον εντοπισμό τους. Η μέθοδος HTML είναι πολύ πιο δύσκολη από προηγούμενες προσπάθειες και μπορεί να παρακάμψει και τις πολιτικές anti-spam και anti-virus με μεγαλύτερο ρυθμό.
Όταν αυτά ανοίγουν, το HTML χρησιμοποιεί μια δέσμη ενεργειών Java για να στείλει τον χρήστη σε μηχανή τρίτου μέρους, ζητώντας από τον χρήστη να εισάγει τα προσωπικά του credentials για να συνδεθεί ή να κατεβάσει ένα αρχείο που είναι κακόβουλο λογισμικό. Επίσης, αυτή η μέθοδος δεν απαιτεί από τον χάκερ να δημιουργήσει έναν ψεύτικο ιστότοπο για να πραγματοποιήσει αυτήν την επίθεση, αλλά αντιθέτως μπορεί να δημιουργήσει μια φόρμα ηλεκτρονικού “ψαρέματος” ενσωματωμένη στο συνημμένο, στέλνοντας phishing sites ως συνημμένα αντί για links.
Τρόπος προστασίας συστημάτων από κακόβουλα συνημμένα HTML
Η Barracuda δίνει έμφαση σε τρεις βασικές συμβουλές για να αποτραπούν αυτές οι επιθέσεις:
- Βεβαιωθείτε ότι η προστασία του email σας σαρώνει και αποκλείει κακόβουλα συνημμένα HTML
- Εκπαιδεύστε τους χρήστες σας να αναγνωρίζουν και να αναφέρουν δυνητικά κακόβουλα συνημμένα HTML
- Εάν το κακόβουλο email “περάσει”, έχετε έτοιμα τα εργαλεία αποκατάστασης παράδοσης αναρτήσεων