Microsoft предупреждает о необнаруживаемой технике развертывания троянских коней

Vignette
Написано Guillaume
Дата публикации : {{ dayjs(1636995605*1000).local().format("L").toString()}}
Эта статья является автоматическим переводом

Контрабанда HTMLс каждым днем приобретает новых "последователей" из-за сложности ее пресечения.

Не являясь, строго говоря, "новой" техникой,контрабанда HTML заключается в отправке HTML-файла в качестве вложения в электронное письмо или путем размещения простой ссылки внутри сообщения. Больше не возникает вопроса о том, что файл может быть напрямую "подделан" в электронном письме. Фактически, можно обойти программное обеспечение безопасности, такое как Windows Defender, который обычно заботится о проверке вложений, но не блокирует простой HTML-файл, который сам по себе безвреден.

Проблема в том, что хотя этот первый шаг совершенно безобиден, атака происходит именно после него. Действительно, функция может вступить в действие и нанести большой ущерб практически незаметно для многих пользователей. Называемый Blobs JavaScript, он позволяет загрузить все элементы вредоносной программы. Взятые "один за другим", они кажутся безобидными, но JavaScript Blobs затем способны собрать их в настоящую вредоносную программу, которая уже установлена на зараженном компьютере.

Техника контрабанды HTML, проиллюстрированная Microsoft

HTML-контрабанда собирает части вредоносного ПО по частям под носом у всех наиболее часто используемых инструментов безопасности. Microsoft приводит пример вредоносной программы Trickbot, распространяемой группой, названной издателем DEV-0193. В сентябре прошлого года группа рассылала различные электронные письма с целью установить вредоносную программу в папку "downloads" на целевых машинах. Хотя применяемые стратегии действительно могут победить программное обеспечение безопасности, они все еще полагаются на доверчивость пользователей.

В этом случае Microsoft заявляет, что простого отключения JavaScript недостаточно для устранения угрозы. С другой стороны, еще раз рекомендуется просто быть очень осторожным с документами, полученными по электронной почте: можно повторить обычные меры предосторожности, например, не открывать вложения - независимо от формата файла - если отправитель неизвестен. Более того, даже если вы думаете, что знаете отправителя, не следует открывать файлы .js, конечно, но также и файлы .htm / .html, если вы не знаете, почему они были отправлены именно вам.