[08/05/2023] Los investigadores advierten de que los atacantes recurren cada vez más a archivos HTML maliciosos en sus ataques, ya que éstos representan ahora la mitad de todos los archivos HTML adjuntos enviados por correo electrónico. Esta tasa de prevalencia de HTML malicioso es el doble de la del año pasado, y no parece ser el resultado de campañas de ataques masivos que envían el mismo archivo adjunto a un gran número de personas.
"Cuando se trata de tácticas y herramientas de ataque, el hecho de que algo haya existido durante un tiempo no parece hacerlo menos potente", afirman los investigadores de la empresa de seguridad Barracuda Networks en un nuevo informe. "Los atacantes siguen utilizando HTML malicioso porque funciona. Contar con la seguridad adecuada es tan importante ahora como lo ha sido siempre, si no más".
¿Por qué el HTML es el favorito de los atacantes?
HTML, el lenguaje de marcado estándar para mostrar contenido Web, tiene muchos usos legítimos dentro de las comunicaciones por correo electrónico. Por ejemplo, los usuarios de empresa reciben a menudo informes que diversas aplicaciones y herramientas generan y envían por correo electrónico. Esto no les hace sospechar cuando ven este tipo de archivos adjuntos y el tipo de archivo adjunto no puede ser prohibido directamente por los filtros del gateway de seguridad del correo electrónico.
El HTML también es flexible en cuanto a los tipos de ataques que puede permitir. Uno de los casos más comunes es el phishing de credenciales, en el que los atacantes crean archivos HTML adjuntos que, cuando se abren, se hacen pasar por la página de inicio de sesión de varios servicios. Esto también puede ser dinámico, con el HTML incluyendo código JavaScript que redirige al usuario a un sitio de phishing. Imagine que recibe un correo electrónico que parece una notificación automática de un paquete de DHL, abre el adjunto HTML y ve una copia de la página de inicio de sesión de DHL.
En otros casos, los adjuntos HTML incluyen enlaces y señuelos que intentan convencer a los usuarios de que descarguen un archivo secundario que en realidad es una carga útil de malware. La ventaja para los atacantes es que este método de entrega de malware tiene muchas más posibilidades de eludir la puerta de enlace de seguridad del correo electrónico en comparación con adjuntar una carga útil de malware directamente dentro de un archivo zip o como un tipo de archivo diferente. Dado que el señuelo está ahora delante del usuario, si éste accede a descargar el archivo localmente en su computadora, depende de la solución de protección de puntos finales detectarlo, por lo que los atacantes ya han derrotado la primera capa de defensa.
"Sin embargo, en algunos casos vistos por los investigadores de Barracuda, el propio archivo HTML incluye malware sofisticado que tiene la carga maliciosa completa incrustada dentro de él, incluyendo potentes scripts y ejecutables", dijeron los investigadores. "Esta técnica de ataque es cada vez más utilizada que las que implican archivos JavaScript alojados externamente".
La prevalencia de los archivos adjuntos HTML maliciosos
Barracuda utilizó su telemetría para realizar un análisis en mayo del 2022 y descubrió que el 21% de los archivos adjuntos HTML que sus productos analizaron ese mes eran maliciosos. Se trataba, con diferencia, de la proporción más alta entre maliciosos y limpios de cualquier tipo de archivo enviado por correo electrónico, pero empeoró progresivamente desde entonces, alcanzando el 45,7% en marzo de este año.
Así que, para cualquiera que reciba un archivo HTML adjunto por correo electrónico ahora mismo, hay una posibilidad entre dos de que sea malicioso. Sin embargo, para asegurarse de que los datos no están sesgados por unos pocos ataques masivos, los investigadores también analizaron la singularidad de los archivos.
Los investigadores eligieron dos fechas entre enero y marzo en las que se detectaron grandes picos de archivos HTML maliciosos, lo que sugiere posibles ataques masivos. El 7 de marzo, los productos de la empresa escanearon 672.145 artefactos HTML maliciosos, de los cuales 181.176 eran diferentes, lo que significa que alrededor de una cuarta parte de los archivos adjuntos eran el resultado de ataques únicos. En el segundo pico, el 23 de marzo, las cosas fueron mucho peor. De 475.938 HTML maliciosos detectados, el 85%, es decir, casi nueve de cada diez, eran únicos.
"La protección contra los ataques maliciosos basados en HTML debe tener en cuenta todo el correo electrónico que contenga archivos HTML adjuntos, examinando todas las redirecciones y analizando el contenido del correo en busca de intenciones maliciosas", afirmaron los investigadores.
Cómo mitigar los adjuntos HTML maliciosos
La recomendación de la empresa es elegir soluciones de seguridad del correo electrónico que puedan evaluar todo el contexto del mensaje y no sólo el contenido del archivo adjunto. También es muy importante formar a los empleados para que detecten y denuncien los archivos adjuntos HTML maliciosos, y desconfíen de los que procedan de fuentes desconocidas. También es importante que la empresa disponga de herramientas y procesos de respuesta a incidentes que permitan eliminar un archivo adjunto de todos los buzones de correo a los que pueda haber llegado una vez que el equipo de seguridad lo haya marcado como malicioso.
Utilizar la autenticación de dos factores junto con soluciones de acceso de confianza cero que evalúen no sólo las credenciales, sino también el dispositivo, la ubicación, la zona horaria y el historial del usuario, puede limitar las brechas incluso si los usuarios son víctimas de phishing y robo de credenciales. Las cuentas también deben tener una supervisión posterior al inicio de sesión que pueda alertar al equipo de seguridad si se detecta cualquier comportamiento sospechoso.
Basado en el artículo de Lucian Constantin (CSO) y editado por CIO Perú