Posté le novembre 14, 2021 à 17:47
LES HACKERS UTILISENT DE PLUS EN PLUS LA CONTREBANDE HTML DANS LES ATTAQUES DE LOGICIELS MALVEILLANTS
Un rapport récent révèle que les hackers utilisent de plus en plus la contrebande HTML pour les campagnes de logiciels malveillants et de phishing. Selon l’équipe de renseignement sur les menaces de Microsoft 365 Defender, ces acteurs misent désormais sur ces techniques pour obtenir un accès initial aux systèmes et y implanter leurs logiciels malveillants.
L’utilisation croissante de la contrebande HTML
L’éventail des menaces comprend des charges utiles de ransomware, des chevaux de Troie d’administration à distance (RAT) et des logiciels malveillants bancaires.
Selon le rapport publié par l’agence de sécurité, les hackers répandent activement les chevaux de Troie bancaires Mekotip tels que NiRAT et AsyncRAT, ainsi que le très populaire logiciel malveillant TrickBot.
ISOMorph, également connu sous le nom d’attaques en plusieurs étapes, a été documenté publiquement par Menlo Security en juillet 2021.
La contrebande HTML est une stratégie utilisée par les hackers pour faire passer des droppers de première étape afin d’encoder des scripts malveillants placés dans des pièces jointes JavaScript et HTML spécialement conçues. Ils sont implantés sur le système de la cible en utilisant les fonctionnalités de base de JavaScript et HTML5 au lieu de l’exploitation habituelle d’une vulnérabilité.
Cela permet aux hackers de construire par programmation les charges utiles sur la page HTML via JavaScript plutôt que d’effectuer une requête HTTP pour collecter des ressources sur un serveur Web.
Les chercheurs ont noté qu’après que les utilisateurs ciblés aient lancé le HTML sur leur navigateur Web, celui-ci décode les scripts malveillants et transfère la charge utile sur l’appareil hôte.
Ce faisant, il échappe simultanément aux solutions de sécurité du périmètre. Ensuite, les droppers HTML sont utilisés pour recueillir le logiciel malveillant principal et l’exécuter sur les points d’extrémité compromis.
Les hackers parrainés par l’État utilisent également la même technique
Les chercheurs de Microsoft ont également noté qu’au lieu de faire passer un exécutable malveillant sur le réseau, les hackers développent le logiciel malveillant localement derrière le pare-feu.
La capacité des hackers à utiliser la contrebande HTTP pour contourner les passerelles de messagerie et les proxys Web a rendu leur exploration plus lucrative. Selon les chercheurs, il est également très intéressant pour les groupes cybercriminels et les hackers parrainés par l’État de diffuser des logiciels malveillants dans le cadre d’attaques réelles.
Les célèbres cybercriminels de Nobelium, responsables de l’attaque bien documentée de la chaîne d’approvisionnement de SolarWinds, ont également été découverts utilisant ce type de tactique. Ils ont été vus en train d’envoyer une balise Cobalt Strike Beacon lors d’une de leurs attaques sophistiquées par courrier électronique contre des organisations non gouvernementales, des consultants, des groupes de réflexion et des agences gouvernementales.
Le groupe de hackers a utilisé cette tactique pour cibler ces organisations situées dans 24 pays, dont les États-Unis et certains pays européens.
Outre l’utilisation de la contrebande HTML pour des opérations d’espionnage, il a également été utilisé pour des attaques de logiciels malveillants bancaires, notamment celles qui impliquent le cheval de Troie Makoto. Les hackers l’utilisent généralement pour envoyer des e-mails de spam contenant des liens malveillants. Lorsque l’utilisateur cible clique sur le lien, il déclenche automatiquement le téléchargement d’un fichier ZIP contenant un téléchargeur de fichiers JavaScript. L’opération d’exploration du logiciel malveillant est capable de récupérer des binaires pour l’enregistrement de frappe et le vol d’informations d’identification.
En outre, à part les hackers parrainés par l’État, d’autres hackers utilisent de plus en plus la contrebande HTML dans leurs diverses campagnes de piratage. En septembre, DEV-0193 a mené une campagne de courrier électronique, qui a été découverte et utilisée pour propager TrickBot.
Microsoft invite les organisations à améliorer leur sécurité
Les hackers ont utilisé des pièces jointes HTML malveillantes qui génèrent un fichier JavaScri[t protégé par un mot de passe sur l’ordinateur de la victime lorsqu’il est ouvert dans un navigateur Web.
Une fois que la victime a fourni sans le savoir le mot de passe de la pièce jointe HTML originale, l’exécution du code JavaScript est automatiquement lancée. Ensuite, il délivre une commande PowerShell codée en Base64 qui permet de télécharger facilement le logiciel malveillant TrickBot, ce qui peut entraîner des attaques ultérieures de ransomware sur le système affecté.
Microsoft a constaté que les hackers ont de plus en plus recours à la contrebande HTML pour s’infiltrer dans les systèmes des victimes et y dérober des informations vitales. Le géant technologique a ajouté que ces campagnes sont une autre indication que les hackers affinent continuellement les composants spécifiques de leurs attaques. Pour ce faire, ils utilisent des méthodes de piratage très évasives et rendent leur détection très difficile pour les logiciels de sécurité.
Microsoft a déclaré que cette adoption de procédures, tactiques et techniques se répand parmi les acteurs malveillants et les cybercriminels. Cela accrédite la croyance que les hackers sont constamment à la recherche de techniques améliorées pour lancer des attaques sur les systèmes et rester sous le radar sans être détectés.
C’est pourquoi Microsoft a conseillé aux organisations de renforcer leurs protocoles de sécurité contre cette nouvelle vague de menaces utilisant la contrebande HTML.
