根據(jù)2022年第一季度的調(diào)研表明，HTML文件仍然是網(wǎng)絡(luò)釣魚(yú)攻擊中最流行的附件之一，面對(duì)此類(lèi)攻擊手段，不管是反垃圾郵件引擎還是用戶都很難辨別。HTML(超文本標(biāo)記語(yǔ)言)是一種定義Web內(nèi)容的含義和結(jié)構(gòu)的語(yǔ)言。HTML文件是專(zhuān)為在 Web 瀏覽器中進(jìn)行數(shù)字查看而設(shè)計(jì)的交互式內(nèi)容文檔。

在網(wǎng)絡(luò)釣魚(yú)電子郵件中，HTML文件通常用于將用戶重定向到惡意站點(diǎn)、下載文件，甚至在瀏覽器中本地顯示網(wǎng)絡(luò)釣魚(yú)表單。由于HTML本身并不是惡意的，所以附件往往不會(huì)被電子郵件安全產(chǎn)品檢測(cè)到，因此可以很好地進(jìn)入收件人的收件箱。卡巴斯基的統(tǒng)計(jì)數(shù)據(jù)表明，在惡意電子郵件中使用HTML附件的趨勢(shì)依然強(qiáng)勁，其公司在今年第一季度檢測(cè)到200萬(wàn)封針對(duì)其客戶的此類(lèi)電子郵件。這些數(shù)字在2022年3月達(dá)到頂峰，當(dāng)時(shí)卡巴斯基的遙測(cè)數(shù)據(jù)統(tǒng)計(jì)了 851,000次檢測(cè)，而4月的數(shù)據(jù)稍有下降，降至 387,000次。

HTML如何逃避檢測(cè)

HTML附件中的網(wǎng)絡(luò)釣魚(yú)表單、重定向機(jī)制和數(shù)據(jù)竊取等通常使用各種方法實(shí)現(xiàn)，從簡(jiǎn)單的重定向到混淆JavaScript以隱藏網(wǎng)絡(luò)釣魚(yú)表單。附件在電子郵件中采用base64編碼，所以惡意URL、腳本等能輕松躲避電子郵件網(wǎng)關(guān)和防病毒軟件的掃描。除此之外，威脅參與者通常在HTML附件中使用JavaScript，這些附件將用于生成惡意網(wǎng)絡(luò)釣魚(yú)表單或重定向。

在HTML附件中使用JavaScript來(lái)隱藏惡意URL和行為稱(chēng)為HTML走私，并且在過(guò)去幾年中已成為一種非常流行的技術(shù)。為了使檢測(cè)惡意腳本變得更加困難，威脅參與者使用免費(fèi)提供的工具對(duì)它們進(jìn)行混淆，這些工具可以接受自定義配置，因此不太可能被檢測(cè)到，從而逃避檢測(cè)。例如，在11月，我們?cè)鴪?bào)告了威脅攻擊者在其HTML附件中使用摩爾斯電碼來(lái)混淆打開(kāi)HTML附件時(shí)會(huì)顯示的網(wǎng)絡(luò)釣魚(yú)表單。

卡巴斯基指出，在某些情況下，威脅參與者使用的編碼方法涉及已棄用函數(shù)，例如“unescape()”，它將字符串中的“%xx”字符序列替換為其ASCII等價(jià)物。雖然今天這個(gè)函數(shù)已經(jīng)被decodeURI()和decodeURIComponent()取代，但大多數(shù)現(xiàn)代瀏覽器仍然支持它。盡管如此，更多關(guān)注當(dāng)前方法的安全工具和反垃圾郵件引擎可能會(huì)忽略它。

結(jié)論

HTML附件在2019年首次出現(xiàn)激增，但它們?nèi)匀皇?022年網(wǎng)絡(luò)釣魚(yú)活動(dòng)中的一種常見(jiàn)技術(shù)，所以不該輕視其帶來(lái)的危害，因?yàn)閮H僅打開(kāi)這些文件通常就足以讓JavaScript 在您的系統(tǒng)上運(yùn)行，這可能會(huì)導(dǎo)致惡意軟件在磁盤(pán)上自動(dòng)組裝并繞過(guò)安全軟件。由于安全軟件不會(huì)將附件檢測(cè)為惡意附件，因此收件人可能更有可能打開(kāi)它們并被感染。即使電子郵件安全解決方案沒(méi)有產(chǎn)生任何警告，也請(qǐng)時(shí)刻對(duì)HTML附件保持警惕。

參考來(lái)源：https://www.bleepingcomputer.com/news/security/html-attachments-remain-popular-among-phishing-actors-in-2022/#google_vignette