マイクロソフトセキュリティチームによって特定されたHtml密輸操作は、その仕組みです

ジャカルタ - ここ数週間、マイクロソフトのセキュリティチームによってスパムメール操作が確認されました。この操作では、「HTML の密輸」と呼ばれる手法を使用します。この手法は、電子メールのセキュリティ対策を回避し、ユーザーのデバイスにマルウェアを送信するために実行されます。

HTML の密輸は、ファイアウォールの背後で、対象となるエンドポイントのブラウザで悪意のある HTML を作成することで、セキュリティ システムに対処するために使用される方法です。

html5 および JavaScript の特性を利用するサンドボックス、プロキシ、サンドボックスは、電子メール スキャナーなどの従来のネットワーク セキュリティメソッドをバイパスします。これにより、ネットワーク セキュリティ境界内に既に存在するブラウザーで、ターゲット デバイスに有害な HTML コードが生成されます。

通常、ネットワーク セキュリティ ソリューションは、識別されたマルウェア シグネチャとバイト ストリームの傾向を検索して、ネットワークからの情報の 「ワイヤ」またはフローを分析することによって機能します。有害なペイロードは、HTML の密輸を使用してブラウザのターゲットデバイス上に構築されるため、検出のためにネットワークセキュリティシステムにアイテムが渡されません。

HTML電子メールベースの偽造の基本的な概念は、スキャンしても悪意のあるように見えない電子メール文書へのリンクや、EXE、DOC、MSIなどの悪意のある電子メールセキュリティプログラムを持つファイルタイプへのリンクを含める方法です。

また、ブラウザで組み立てられた悪意のあるファイルの URL にアクセスする際に、"href" や "download" などの特定の HTML 要素と JavaScript コードを使用します。

このアプローチは新しいものではありませんし、2010年代半ばから知られています。マルウェアプログラマーは、少なくとも2019年以来それを使用しており、2020年を通じて検出されています。

マイクロソフトは金曜日の一連のツイートで、HTMLの密輸を悪用してマシンに有害なZIPファイルを置くことによって、数週間にわたる電子メールスパムキャンペーンを追跡していると述べた。

ZIPファイル内のファイルは、残念ながら、カズバネイ銀行トロイの木馬(Metamorfo)でユーザーに感染します。Casbaneiroは、ブラジルとメキシコの銀行と暗号通貨サービスに焦点を当てた伝統的なラテンアメリカのトロイの木馬銀行です。

彼らは偽のポップアップウィンドウを備えたソーシャルエンジニアリング方法を利用しています。このポップアップは、重要な情報を提供するために潜在的な犠牲者を引き付けようとします。さらに、この情報は成功した場合に盗まれます。

マイクロソフトは、Office 365 用 Microsoft Defender が HTML 契約ファイルを認識する可能性があると発表しましたが、OS クリエイターは 7 月 29 日(金)、クライアントでない顧客、または技術に精通していない顧客、または受信メールをスキャンする電子メール セキュリティ デバイスを持っていない顧客に警告を発しました。