HTML-Smuggling gewinnt jeden Tag neue "Anhänger", weil es so schwer zu verhindern ist.
Die Technik desHTML-Smugglings ist nicht wirklich "neu". Sie besteht darin, eine HTML-Datei als Anhang einer E-Mail zu versenden oder einen einfachen Link in die E-Mail zu setzen. Hier geht es nicht mehr darum, dass die Datei direkt in der E-Mail "vergewaltigt" wird. Tatsächlich ist es möglich, Sicherheitssoftware wie den Windows Defender zu umgehen, die normalerweise die Anhänge durchkämmt, aber eine einfache HTML-Datei, die an sich harmlos ist, nicht blockiert.
Das Problem ist, dass dieser erste Schritt zwar völlig ungefährlich ist, der Angriff aber erst danach erfolgt. Dann kann eine Funktion in Aktion treten und für viele Nutzer fast unsichtbar Schaden anrichten. Diese Funktion heißt Blobs JavaScript und ermöglicht das Herunterladen aller Bestandteile der Malware. Diese sind scheinbar harmlos, aber die JavaScript-Blobs können sie zu der eigentlichen Malware zusammenfügen, die dann auf dem infizierten Rechner installiert wird.
Die Technik des HTML-Smugglings, veranschaulicht von Microsoft
HTML-Smuggling baut die Teile der Malware Stück für Stück zusammen, und zwar vor der Nase und dem Bart aller gängigen Sicherheitstools. Microsoft nennt als Beispiel die Trickbot-Malware, die von einer Gruppe verbreitet wurde, die vom Herausgeber DEV-0193 getauft wurde. Im September letzten Jahres verschickte die Gruppe verschiedene E-Mails, die dazu führten, dass die Malware im Download-Ordner der Zielrechner installiert wurde. Diese Strategien können zwar Sicherheitssoftware aushebeln, sind aber immer auf die Leichtgläubigkeit der Benutzer angewiesen.
Im vorliegenden Fall weist Microsoft darauf hin, dass die reine Deaktivierung von JavaScript nicht ausreicht, um die Bedrohung zu beseitigen. Stattdessen sollte man wieder einmal einfach sehr vorsichtig mit Dokumenten sein, die man per E-Mail erhält: Die üblichen Vorsichtsmaßnahmen können wiederholt werden, wie z. B. das Öffnen von Anhängen - unabhängig vom Dateiformat -, wenn man den Absender nicht kennt. Außerdem sollten Sie, selbst wenn Sie glauben, den Absender zu kennen, keine .js-Dateien, aber auch keine .htm- oder .html-Dateien öffnen, wenn Sie nicht ausdrücklich wissen, warum sie Ihnen zugesandt wurden.
