安全研究人员最近进行的一项研究发现,网络犯罪分子正越来越多地使用恶意的 HTML 文件来攻击计算机。除此之外,Barracuda Networks 的研究还表明,恶意文件现在占到了通过电子邮件发送的所有 HTML 附件的一半以上。与去年相比,数量有明显的增加。
为防止网络犯罪分子通过电子邮件连接 C2 服务器下载加密的恶意软件、特洛伊木马等文件,他们选择使用 HTML 附件进行发送。
基于 HTML 邮件的钓鱼诈骗由来已久,但人们并没有意识到这一点,而且越来越多的人上当受骗。
尽管 HTML 文件仍然是 2022 年网络钓鱼诈骗中最常见的附件之一,但这表明该方法仍然是绕过垃圾邮件检测软件并向被攻击目标传送垃圾邮件的最有效方法之一。
那些使用网络服务器或从网络服务器接收 HTML 文档的本地存储设备,可以将 HTML 文档渲染成一个多媒体网页。HTML 文档就是描述一个网页的语义文档,HTML 也可以描述一个网页的内容。
当受害者收到使用 HTML 文件的网络钓鱼邮件时,他们经常会被引导到恶意网站,下载文件或可在其计算机的浏览器中本地显示网络钓鱼表格。
电子邮件安全软件在收到邮件时,通常会忽略附件,因为 HTML 不会对收件人构成威胁;因此,邮件就会被成功发送到受害者的收件箱中。
关于最近恶意 HTML 文件大量增加的原因,这似乎并不是黑客向许多受害者发送相同附件的大规模攻击活动造成的。
为了防止网络攻击,现在比以往任何时候都更需要使用适当的网络安全措施。防止这类攻击的关键是及时报告所发现的攻击事件。
据报道,网络犯罪团伙 DEV-0238 和 DEV-0253 也一直在使用该手法进行攻击,通过 HTML 附件来传递键盘记录器。网络犯罪团伙 DEV-0193 通过也会通过 HTML 秘密传输 Trickbot 等恶意软件。
攻击者在钓鱼攻击中使用 HTML 附件进行攻击
钓鱼网站发送的附件最常见的是 HTML 类型附件。HTML 文件本身一般并没有恶意代码。这意味着它看起来可能是良性的,并且也不会向系统发送恶意代码。尽管是这样,我们还是建议谨慎对待这种附件。他们通过模仿微软、谷歌或主要网上银行等服务的登录页面,诱导用户在表格中输入他们的凭证并进行提交,从而导致攻击可以者接管他们的账户。
当在 HTML 附件中添加垃圾邮件表格以及使用重定向策略时,黑客通常会使用以下几种方式来实施。这些战术包括从简单的重定向到混淆 JavaScript,伪装网络钓鱼表格来窃取个人信息。
一个安全的电子邮件网关和防病毒解决方案可以很好的检查电子邮件中的附件,看它们是否含有恶意的 URL、脚本或其他威胁。
大多数网络犯罪攻击都是由恶意的网络钓鱼或使用 HTML 附件中的 JavaScript 进行重定向进行的。这样做是为了避免被受害者发现。
考虑到恶意文件可能会损害你的设备和你的组织,确保你要采取必要的预防措施,使自己免受其害。当务之急是知道如何通过采取以下预防措施来防止攻击的发生:
在这种情况下,你的电子邮件系统的基础设施是非常重要的。反病毒软件和防火墙应定期进行更新。此外,还必须要实施一个有效的行动来防止数据丢失。应该为你的域名配置 DMARC 协议,将其作为确保通信安全的最有效方式。
采用双因素认证是非常有必要的,其次是基于多因素认证的零信任访问。不过可以确定的是,即使你的员工被黑客攻击、盗窃凭证,成为网络钓鱼攻击的受害者,他们也会得到保护。这是因为系统会评估他们的凭证、设备、位置、时区和访问历史,限制违规的行为。
我们应该认识到员工自身能够识别和报告恶意 HTML 附件的重要性。员工必须要接受培训,了解如何识别和报告来自未知来源的附件,特别是那些含有恶意软件的附件。如果不加以防治,网络安全威胁会给企业组织带来严重的后果。
当然,在这种情况下,混淆是所有恶意的 HTML 附件的共同特征之一。我们必须要在电子邮件网关层来处理这样的威胁,这表明它是非常的难以检测。
通讯地址:北京市海淀区海淀南路甲21号中关村知识产权大厦A座2层206、207室 邮政编码:100080
电话:010-62565314 刘莉 京ICP证16064523号-2 版权所有:北京软件和信息服务业协会
技术支持:中科服 内容支持:鑫网安