Opération De Contrebande Html Identifiée Par L’équipe De Sécurité Microsoft, Voici Comment Cela Fonctionne
JAKARTA - Ces dernières semaines, une opération de spam a été identifiée par l’équipe de sécurité de Microsoft. Cette opération utilise une technique appelée « contrebande HTML ». Cette technique est effectuée pour éviter les mesures de sécurité de messagerie et transmettre des logiciels malveillants à l’appareil de l’utilisateur.
La contrebande HTML est une méthode utilisée pour traiter les systèmes de sécurité en créant du code HTML malveillant derrière un pare-feu, dans un navigateur à un point de terminaison ciblé.
Les sandbox, proxys et sandbox qui utilisent les caractéristiques html5 et JavaScript contournent les méthodes de sécurité réseau conventionnelles telles que les scanners d’e-mails. Cela génère du code HTML dommageable sur l’appareil cible dans un navigateur qui se trouve déjà dans le périmètre de sécurité réseau.
Habituellement, les solutions de sécurité réseau fonctionnent en analysant le « fil » ou le flux d’informations du réseau à la recherche de signatures de logiciels malveillants identifiés et de tendances dans le flux d’octets. Les charges utiles destructrices sont construites sur l’appareil cible dans le navigateur grâce à l’utilisation de la contrebande HTML afin qu’aucun élément ne soit transmis au système de sécurité réseau pour la détection.
Le concept de base derrière la falsification basée sur la messagerie HTML est d’inclure des liens vers des documents de courrier électronique, qui ne semblent pas malveillants s’ils sont analysés, ou vers des types de fichiers dont les programmes de sécurité de messagerie sont considérés comme malveillants, tels que EXE, DOC, MSI et autres.
En outre, il utilise certains éléments HTML, tels que « href » et « download », ainsi que du code JavaScript, lors de l’accès aux URL des fichiers malveillants assemblés dans le navigateur.
Cette approche n’est pas nouvelle et est connue depuis le milieu des années 2010. Les programmeurs de logiciels malveillants l’utilisent depuis au moins 2019 et ont été détectés tout au long de 2020.
Microsoft a déclaré dans une série de tweets vendredi qu’il suivait une campagne de spam par e-mail de plusieurs semaines en abusant de la contrebande HTML pour mettre des fichiers ZIP dommageables sur la machine.
Les fichiers dans le fichier ZIP, malheureusement, infecter les utilisateurs avec le cheval de Troie bancaire casbaneiro (Metamorfo). Casbaneiro est en effet une banque cheval de Troie traditionnelle latino-américaine qui se concentre sur les banques au Brésil et au Mexique et les services de crypto-monnaie.
Ils utilisent des méthodes d’ingénierie sociale, qui disposent de fausses fenêtres pop-up. Ce pop-up tente d’attirer des victimes potentielles pour fournir des informations importantes. En outre, ces informations sont volées en cas de succès.
Bien que Microsoft ait annoncé que Microsoft Defender pour Office 365 peut reconnaître les fichiers sous contrat HTML, les créateurs de système d’exploitation ont émis un avertissement le vendredi 29 juillet aux clients qui ne sont pas leurs clients ou à ceux qui ne sont pas férus de technologie ou qui ne disposent pas d’un dispositif de sécurité de messagerie qui analyse le courrier électronique entrant.