Nos últimos três anos, um dos vetores mais populares de malware e outros tipos de código malicioso tem sido o simples anexo de e-mail. Mais especificamente, os anexos codificados na linguagem de marcação de hipertexto ou HTML tornaram-se uma forma cada vez mais popular de executar uma série de crimes cibernéticos diferentes (e cada vez mais sofisticados), incluindo fraude de identidade através de trojans de acesso remoto (RATs), ataques de ransomware e esquemas de phishing.
É preocupante que este não seja um incidente isolado ou algum tipo de ataque em massa de um agente de ameaça. Anexos HTML maliciosos agora parecem ser a escolha preferida de muitos hackers individuais em todo o mundo desde 2023.
Às vezes chamada de “contrabando de HTML” em casos mais sofisticados, onde a carga maliciosa está no próprio anexo HTML, essa técnica (embora conhecida há muito tempo e usada por vários criminosos cibernéticos ao longo dos anos) ganhou destaque por meio de uma campanha de spear-phishing por meio do ator de ameaças NOBELIUM.
Nos últimos anos, essa técnica tem sido usada para fornecer uma variedade de malwares notáveis, incluindo Mekotio (o infame Trojan bancário), Trickbot e AsyncRAT/NJRAT.
Com o aumento deste tipo de crime cibernético e uma em cada três residências nos EUA sendo infectadas com algum tipo de malware, é importante entender como funcionam os ataques maliciosos de anexos HTML (e contrabando de HTML) e como se proteger contra eles.
Por isso, criamos este guia sobre anexos HTML e contrabando de HTML, para que você tenha tranquilidade quando quiser acessar seus e-mails.
O que são anexos HTML maliciosos?
Anexos HTML maliciosos são um tipo de malware geralmente encontrado em e-mails na forma de anexos. Eles são ativados, principalmente, quando o usuário clica no anexo do arquivo HTML infectado.
Depois de aberto, o usuário é redirecionado por meio de bibliotecas JavaScript hospedadas externamente para o site de phishing do hacker (ou outra forma de conteúdo malicioso controlado pelo invasor, como uma página de login).
As formas mais conhecidas desse tipo de golpe de phishing HTML geralmente se parecem com uma janela pop-up da Microsoft. A janela solicitará ao usuário algum tipo de credencial pessoal/detalhes de login que permitirá baixar o anexo do arquivo HTML recebido no e-mail do hacker.
Uma vez inseridos, os dados do usuário são enviados ao hacker para exploração posterior, incluindo roubo financeiro, fraude de identidade e extorsão por meio de ransomware.
O que é contrabando de HTML?
O contrabando de HTML, conhecido como uma forma mais técnica de ataque de malware de anexo HTML, utiliza HTML 5 e JavaScript para permitir que um criminoso cibernético “contrabandeie” código malicioso para o computador da vítima por meio de um script criado exclusivamente, incorporado ao anexo HTML em si.
Quando a vítima do ataque abre o anexo HTML malicioso em seu navegador, ele decodifica o script incorporado, que monta a carga no próprio dispositivo de computação da vítima. Isso permite que o hacker crie o malware localmente, atrás do firewall da vítima.
Esse tipo de ataque aproveita o fato de que tanto HTML quanto JavaScript são algumas das partes mais comuns e importantes da computação confiável do dia a dia (no contexto de uso comercial e pessoal).
Como resultado, essa técnica pode ignorar softwares de controle de segurança padrão (como proxies da Web e gateways de e-mail) que verificam apenas assinaturas baseadas em tráfego ou tipos de anexos convencionalmente suspeitos, como .EXE, .ZIP ou .DOCX.
Como os arquivos maliciosos são criados depois que o arquivo é carregado por meio do navegador na máquina da vítima, as soluções de segurança padrão registrarão apenas tráfego benigno de HTML e JavaScript.
Além disso, técnicas cibercriminosas mais avançadas, como a “ofuscação”, permitem que os hackers ocultem com sucesso os seus scripts maliciosos de software de segurança mais avançado.
O contrabando de HTML funciona aproveitando o atributo “download” para tags âncora e o uso de JavaScript Blobs para montar a carga no dispositivo da vítima. Depois que o atributo “download” é clicado, ele permite que um arquivo HTML baixe automaticamente um arquivo malicioso referenciado na tag “href”.
Com o uso de JavaScript, um processo semelhante é executado: os Blobs JavaScript armazenam os dados codificados do arquivo malicioso, que são então decodificados quando passados para uma API JavaScript que espera uma URL. Isso significa que o arquivo malicioso é automaticamente baixado e construído localmente no dispositivo da vítima usando códigos JavaScript.
Outros tipos de anexos de e-mail maliciosos
Sendo o HTML um dos tipos de anexo mais populares para contrabandear malware para o sistema de um usuário, é importante estar ciente de outros tipos de arquivos populares que podem ser igualmente perigosos:
Arquivos .EXE
Arquivos .EXE (ou arquivos executáveis) em um sistema operacional Windows são um vetor de ameaça popular ao qual você deve estar atento. Se você vir um desses em um e-mail, seja de um remetente confiável ou outro, evite baixar e executar o arquivo.
Arquivos .ISO
Os arquivos ISO geralmente são usados para armazenar e trocar uma cópia de tudo na unidade de disco de um computador e distribuir sistemas como Apple ou Windows. Como o Windows agora pode montar esses arquivos sem nenhum software extra, esse tipo de anexo de malware ganhou popularidade nos últimos anos.
No entanto, se você os receber por meio de uma conta de e-mail pessoal ou profissional, e não tiver solicitado um sistema inteiro ou não estiver particionando seu computador para executar vários sistemas operacionais, não há necessidade de ter esse arquivo.
Portanto, em quase todos os casos, não baixe esse arquivo. O ideal é excluir da sua caixa de entrada, pois é quase certo que se trata de malware.
Arquivos Microsoft Office
Como os arquivos do Microsoft Office (como .DOCX, .XLSX ou .PPTX) são onipresentes como formatos comerciais padrão em todo o mundo, eles são o veículo ideal para entregar todos os tipos de malware a empresas inocentes.
Eles também são um dos mais difíceis de se proteger e geralmente são vistos na forma de uma fatura urgente ou de uma demanda final, que induz a vítima a abrir os arquivos.
Como se proteger contra anexos maliciosos de HTML
Felizmente, há uma série de etapas que você pode seguir para mitigar e se defender contra a ameaça representada por anexos HTML maliciosos.
Sistemas de verificação e proteção de e-mail
Um sistema dedicado de verificação e proteção de e-mail é a primeira defesa contra anexos de e-mail maliciosos e scripts incorporados. Porém, como observado acima, os sistemas de segurança padrão não são suficientes para controlar a ameaça crescente representada pelos cibercriminosos de hoje.
Recomendamos uma solução antivírus automatizada que inclua aprendizado de máquina e análise estática de código, que avalia o conteúdo real de um e-mail e não apenas o tipo de arquivo em anexo.
Para uma solução avançada de cibersegurança online, recomendamos o Kaspersky Premium. Um sistema premiado para empresas e usuários pessoais, nosso pacote premium inclui assistência remota e suporte ininterrupto.
Controles de acesso restritos
Mesmo que ocorra uma violação ou perda de credenciais, limitar o acesso do usuário ao pessoal essencial é uma ótima maneira de reduzir os danos que um cibercriminoso pode realisticamente infligir.
Você também deve garantir que os usuários que têm acesso a sistemas vitais usem a autenticação multifator (às vezes chamada de MFA, verificação de dois fatores ou 2FA) para reduzir ainda mais a exposição, adicionando outra camada à sua estratégia de segurança cibernética.
Além disso, uma forma importante de proteger seus ativos vitais contra erros de acesso de funcionários (especialmente se eles estiverem trabalhando remotamente) é usar uma Rede Privada Virtual ou VPN.
A VPN da Kaspersky permite que seus usuários se conectem remotamente aos servidores de suas empresas por meio de um túnel digital criptografado.
Este túnel protege seu sistema dos perigos potenciais do Wi-Fi público e de conexões de Internet inseguras, onde quer que estejam no mundo.
Treinamento e práticas recomendadas em segurança cibernética
Uma das maneiras mais fáceis de manter quaisquer ativos preciosos protegidos contra ataques de anexos HTML é treinar sua equipe (ou você mesmo) nas práticas recomendadas de segurança cibernética e como detectar e-mails, arquivos e anexos suspeitos.
Isso inclui não compartilhar nenhuma senha ou credencial de login comercial com colegas, não reutilizar senhas de vários softwares ou contas, e sempre usar uma senha forte ou frase secreta (de 10 a 12 caracteres, contendo uma mistura de caracteres especiais, números, letras maiúsculas e minúsculas).
Além disso, recomendamos usar um Gerenciador de senhas ou cofre, que criptografa suas senhas e preenche automaticamente cada uma delas quando necessário)
Perguntas frequentes sobre anexos HTML
O que são anexos HTML?
Anexos HTML são arquivos anexados a e-mails codificados na linguagem de marcação de hipertexto. Nos últimos anos, anexos HTML maliciosos (aqueles que contêm malware incorporado ou links baseados em JavaScript para sites de phishing) tornaram-se vetores populares para criminosos cibernéticos que procuram contornar firewalls de e-mail e sistemas de proteção.
Os arquivos HTML podem conter vírus?
Sim, os arquivos HTML podem conter vírus e outros tipos de malware, incluindo golpes de phishing e ransomware. Esse tipo de ataque cibernético é conhecido como anexo HTML malicioso ou ataque de contrabando de HTML. Envolve o uso de links JavaScript para janelas de login falsas ou malware incorporado para explorar as credenciais e arquivos pessoais de um usuário.
Os arquivos HTML podem ser perigosos?
Sim, os arquivos HTML (incluindo anexos de e-mail) podem ser muito perigosos para o seu sistema. Nos últimos anos, os especialistas em segurança cibernética têm observado um aumento em ataques cibernéticos sofisticados que utilizam anexos HTML maliciosos para roubar dados pessoais. Esse tipo de ataque costuma ser chamado de contrabando de HTML.
O que é contrabando de HTML?
O contrabando de HTML é uma forma cada vez mais popular de ataque cibernético que utiliza a linguagem de marcação de hipertexto (geralmente HTML 5) e JavaScript para “contrabandear” várias formas de malware para o sistema de um usuário. Ele pode contornar os protocolos tradicionais de proteção de e-mail e permitir que o hacker crie o malware localmente, atrás do firewall da vítima.
Artigos relacionados:
- O que são gerenciadores de senhas? Eles são seguros?
- O que é ransomware?
- O que são spams e golpes de phishing?
- O que são cavalos de Troia e quais tipos existem?
Produtos recomendados: