HTML maliciosos, un ataque vía correo electrónico en alza
La mitad de todos los archivos adjuntos de correo electrónico HTML son maliciosos, y no solo por unas pocas campañas masivas, según un informe de Barracuda Networks.
Los atacantes confían cada vez más en los archivos HTML maliciosos en sus ataques, y estos ahora representan la mitad del conjunto total de los enviados por correo electrónico. Esta tasa de prevalencia de HTML maligno es el doble en comparación con el año pasado, y no parece ser el resultado de campañas de ataques masivos que envían el mismo adjunto a una gran cantidad de personas. “Cuando se trata de tácticas y herramientas de amenazas, el hecho de que algo haya sido recurrente a lo largo del tiempo no tiene por qué hacerlo menos potente”, asegura un informe Barracuda Networks. “Los ciberdelincuentes siguen utilizando HTML malicioso porque funciona. Tener la seguridad adecuada es tan importante ahora como lo ha sido siempre, si no más”.
¿Por qué HTML es el favorito de los atacantes?
HTML, el lenguaje de marcado estándar para mostrar contenido web, tiene muchos usos legítimos dentro de las comunicaciones por correo electrónico. Por ejemplo, los usuarios corporativos reciben a menudo informes que varias aplicaciones y herramientas generan y envían por mail. Esto no los hace sospechar cuando ven este tipo de archivo adjunto, y este no puede ser prohibido por completo por los filtros de seguridad.
Además, es flexible en cuanto a los tipos de ataque que puede habilitar. Uno de los casos más comunes es el phishing de credenciales con archivos HTML que cuando se abren se hacen pasar por la página de inicio de sesión de varios servicios. Esto también puede ser dinámico, con el HTML que incluye código JavaScript que redirige al usuario a un sitio de phishing.
En otros casos, los archivos adjuntos incluyen enlaces y señuelos que intentan convencer a los usuarios de que descarguen un archivo secundario que en realidad es una carga útil de malware. Esto tiene muchas más posibilidades de eludir las puertas de seguridad en comparación con adjuntar un malware directamente dentro de un archivo zip o en otro diferene. Dado que el señuelo ahora está frente al usuario, si acepta descargar el archivo de manera local, todo depende de la solución de endpoint para detectarlo, porque los ‘malos’ ya han vencido la primera capa de defensa.
Sin embargo, en algunos casos vistos por los investigadores de Barracuda, el archivo HTML tiene malware sofisticado con potentes scripts y ejecutables. “Esta técnica se usa cada vez más que las que involucran archivos de JavaScript alojados externamente”.
La prevalencia de archivos adjuntos HTML maliciosos
Barracuda descubrió que el 21% de los archivos adjuntos HTML escaneados por sus productos eran maliciosos en mayo de 2022. Esta fue, con mucho, la proporción más alta entre archivos maliciosos y limpios de cualquier tipo enviado por correo electrónico, pero ha empeorado progresivamente desde entonces, alcanzando el 45,7% en marzo de este año.
Por lo tanto, para cualquier persona que reciba un archivo adjunto HTML por correo electrónico en este momento, existe una posibilidad entre dos de que sea malicioso. Sin embargo, para asegurarse de que los datos no estén sesgados por algunos ataques masivos, los investigadores también observaron la singularidad de los archivos.
Estos eligieron dos fechas, de enero a marzo, en las que se detectaron grandes picos de archivos HTML maliciosos, lo que sugiere posibles ataques masivos. El 7 de marzo, los productos de la compañía escanearon 672.145 artefactos HTML maliciosos, de los cuales 181.176 eran diferentes, lo que significa que alrededor de una cuarta parte de los archivos adjuntos fueron el resultado de ataques únicos. Para el segundo pico, el 23 de marzo, las cosas fueron mucho peores. De 475.938 detecciones de HTML malicioso, el 85% o casi nueve de cada diez fueron únicas.
“La protección contra ataques maliciosos basados ??en HTML debe tener en cuenta todo el correo electrónico que contiene archivos adjuntos HTML, observar todos los redireccionamientos y analizar el contenido del correo electrónico en busca de intenciones maliciosas”.