安全研究人员最近进行的一项研究发现,网络犯罪分子正越来越多地使用恶意的HTML文件来攻击计算机。除此之外,Barracuda Networks的研究还表明,恶意文件现在占到了通过电子邮件发送的所有HTML附件的一半以上。与去年相比,数量有明显的增加。
为防止网络犯罪分子通过电子邮件连接C2服务器下载加密的恶意软件、特洛伊木马等文件,他们选择使用HTML附件进行发送。
基于HTML邮件的钓鱼诈骗由来已久,但人们并没有意识到这一点,而且越来越多的人上当受骗。
尽管HTML文件仍然是2022年网络钓鱼诈骗中最常见的附件之一,但这表明该方法仍然是绕过垃圾邮件检测软件并向被攻击目标传送垃圾邮件的最有效方法之一。
那些使用网络服务器或从网络服务器接收HTML文档的本地存储设备,可以将HTML文档渲染成一个多媒体网页。HTML文档就是描述一个网页的语义文档,HTML也可以描述一个网页的内容。
当受害者收到使用HTML文件的网络钓鱼邮件时,他们经常会被引导到恶意网站,下载文件或可在其计算机的浏览器中本地显示网络钓鱼表格。
电子邮件安全软件在收到邮件时,通常会忽略附件,因为HTML不会对收件人构成威胁;因此,邮件就会被成功发送到受害者的收件箱中。
关于最近恶意HTML文件大量增加的原因,这似乎并不是黑客向许多受害者发送相同附件的大规模攻击活动造成的。
为了防止网络攻击,现在比以往任何时候都更需要使用适当的网络安全措施。防止这类攻击的关键是及时报告所发现的攻击事件。
据报道,网络犯罪团伙DEV-0238和DEV-0253也一直在使用该手法进行攻击,通过HTML附件来传递键盘记录器。网络犯罪团伙DEV-0193通过也会通过HTML秘密传输Trickbot等恶意软件。
钓鱼网站发送的附件最常见的是HTML类型附件。HTML文件本身一般并没有恶意代码。这意味着它看起来可能是良性的,并且也不会向系统发送恶意代码。尽管是这样,我们还是建议谨慎对待这种附件。他们通过模仿微软、谷歌或主要网上银行等服务的登录页面,诱导用户在表格中输入他们的凭证并进行提交,从而导致攻击可以者接管他们的账户。
当在HTML附件中添加垃圾邮件表格以及使用重定向策略时,黑客通常会使用以下几种方式来实施。这些战术包括从简单的重定向到混淆JavaScript,伪装网络钓鱼表格来窃取个人信息。
一个安全的电子邮件网关和防病毒解决方案可以很好的检查电子邮件中的附件,看它们是否含有恶意的URL、脚本或其他威胁。
大多数网络犯罪攻击都是由恶意的网络钓鱼或使用HTML附件中的JavaScript进行重定向进行的。这样做是为了避免被受害者发现。
考虑到恶意文件可能会损害你的设备和你的组织,确保你要采取必要的预防措施,使自己免受其害。当务之急是知道如何通过采取以下预防措施来防止攻击的发生:
在这种情况下,你的电子邮件系统的基础设施是非常重要的。反病毒软件和防火墙应定期进行更新。此外,还必须要实施一个有效的行动来防止数据丢失。应该为你的域名配置DMARC协议,将其作为确保通信安全的最有效方式。
采用双因素认证是非常有必要的,其次是基于多因素认证的零信任访问。不过可以确定的是,即使你的员工被黑客攻击、盗窃凭证,成为网络钓鱼攻击的受害者,他们也会得到保护。这是因为系统会评估他们的凭证、设备、位置、时区和访问历史,限制违规的行为。
我们应该认识到员工自身能够识别和报告恶意HTML附件的重要性。员工必须要接受培训,了解如何识别和报告来自未知来源的附件,特别是那些含有恶意软件的附件。如果不加以防治,网络安全威胁会给企业组织带来严重的后果。
当然,在这种情况下,混淆是所有恶意的HTML附件的共同特征之一。我们必须要在电子邮件网关层来处理这样的威胁,这表明它是非常的难以检测。
参考及来源:https://www.cysecurity.news/2023/05/emails-with-html-attachments-are-still.html