Contrebande HTML – Une nouvelle technique de déploiement de logiciels malveillants

  • FrançaisFrançais



  • Tout comme la création de diverses variantes de logiciels malveillants, les cybercriminels trouvent souvent de nouvelles techniques pour déployer des logiciels malveillants et échapper aux analyses de sécurité. Selon un rapport de l’équipe Microsoft 365 Defender Threat Intelligence, les adversaires s’appuient de plus en plus sur les techniques de contrebande HTML dans les campagnes de phishing et de logiciels malveillants par e-mail pour obtenir l’accès et infecter un réseau ou un système avec un éventail de variantes de logiciels malveillants. Il s’agit notamment des logiciels malveillants bancaires, des ransomwares et des chevaux de Troie d’accès à distance (RAT).

    Le rapport indique que les attaquants ont également distribué le cheval de Troie bancaire Mekotio, des portes dérobées de logiciels malveillants comme AsyncRAT et NjRAT, et le tristement célèbre logiciel malveillant TrickBot pour obtenir le contrôle initial des systèmes compromis et déployer des charges utiles de ransomware.

    Qu’est-ce que la contrebande HTML ?

    La contrebande HTML est une technique malveillante utilisée par les pirates pour masquer les charges utiles de logiciels malveillants dans un script codé dans une pièce jointe HTML ou une page Web spécialement conçue. Le script malveillant décode et déploie la charge utile sur l’appareil ciblé lorsque la victime ouvre/clique sur la pièce jointe/le lien HTML. La technique de contrebande HTML exploite les fonctionnalités HTML5 et JavaScript légitimes pour masquer les charges utiles malveillantes et échapper aux détections de sécurité.

    La méthode de contrebande HTML est très évasive. Il pourrait contourner les contrôles de sécurité du périmètre standard tels que les proxys Web et les passerelles de messagerie, qui ne recherchent que les pièces jointes suspectes telles que EXE, ZIP ou DOCX.

    Le groupe NOBELIUM a utilisé la contrebande de HTML

    Des chercheurs de Microsoft ont déclaré que cette technique avait été observée dans une campagne de spear-phishing par le tristement célèbre NOBELIUM – un groupe parrainé par l’État russe qui serait à l’origine des piratages SolarWinds, de la porte dérobée SUNBURST, du malware GoldMax et des campagnes de malware TEARDROP. Les chercheurs ont déclaré que la campagne d’e-mails malveillants utilisait une pièce jointe HTML qui, lorsqu’elle est ouverte par la victime, utilise la contrebande HTML pour télécharger la charge utile principale sur l’appareil ciblé.

    Finalement, d’autres groupes de cybercriminels semblaient avoir emboîté le pas à NOBELIUM et adopté la technique pour leurs propres campagnes. « L’augmentation de l’utilisation de la contrebande HTML dans les campagnes par e-mail est un autre exemple de la façon dont les attaquants continuent d’affiner des composants spécifiques de leurs attaques en intégrant des techniques très évasives. La contrebande HTML utilise des fonctionnalités légitimes de HTML5 et JavaScript, qui sont toutes deux prises en charge par tous les navigateurs modernes, pour générer des fichiers malveillants derrière le pare-feu. Plus précisément, la contrebande HTML exploite l’attribut “téléchargement” HTML5 pour les balises d’ancrage, ainsi que la création et l’utilisation d’un objet blob JavaScript pour rassembler la charge utile téléchargée dans un appareil concerné », a déclaré Microsoft.

    Comment détecter la contrebande HTML ?

    Microsoft a recommandé aux administrateurs de sécurité d’utiliser des règles de comportement pour identifier les caractéristiques communes de la contrebande HTML, notamment :

    • Un fichier ZIP joint contient du JavaScript
    • Une pièce jointe est protégée par mot de passe
    • Un fichier HTML contient un code de script suspect
    • Un fichier HTML décode un code Base64 ou obscurcit un JavaScript

    Pour les points de terminaison, les administrateurs de sécurité peuvent empêcher les activités de contrebande HTML en :

    • Empêcher JavaScript ou VBScript de lancer le contenu exécutable téléchargé
    • Blocage de l’exécution de scripts potentiellement obscurcis
    • Blocage de l’exécution des fichiers exécutables à moins qu’ils ne répondent à un critère de prévalence, d’âge ou de liste de confiance

    Atténuation

    Les organisations et les utilisateurs peuvent empêcher l’exécution automatique des codes JavaScript en modifiant les associations de fichiers pour les fichiers .js et .jse afin de réduire l’impact des menaces qui utilisent la contrebande HTML. Les utilisateurs et les employés doivent être informés des diverses infections de logiciels malveillants et des mesures préventives pour aider à atténuer les menaces basées sur les logiciels malveillants.

    Source

    L'équipe de Comparaland

    Rédacteur web depuis 2009 et webmestre depuis 2011.

    Je m'intéresse à tous les sujets comme la politique, la culture, la géopolitique, l'économie ou la technologie. Toute information permettant d'éclairer mon esprit et donc, le vôtre, dans un monde obscur et à la dérive. Je suis l'auteur de plusieurs livre

    Pour me contacter personnellement :

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *