De senaste tre åren har en av de populäraste vektorerna för skadlig programvara och andra typer av skadlig kod varit den enkla e-postbilagan. Mer specifikt har bilagor kodade i ”Hypertext Markup Language” eller HTML blivit ett alltmer populärt sätt att genomföra ett antal olika (och alltmer sofistikerade) cyberbrott, inklusive identitetsbedrägeri via trojaner med fjärråtkomst (RATs), utpressningsvirusattacker och nätfiskebedrägerier. Oroväckande nog är detta inte en isolerad händelse eller någon form av massattack från en hotagent; skadliga HTML-bilagor verkar nu vara den föredragna metoden för hackare världen över 2023.
Tekniken, som ibland kallas för ”HTML-smuggling” i mer sofistikerade fall där den skadliga nyttolasten finns i själva HTML-bilagan, blev nyligen känd via en riktad nätfiskekampanj av den kända hotaktören NOBELIUM (även om den länge varit känd och använts av olika cyberbrottslingar genom åren). Under de senaste åren har denna teknik använts för att leverera en rad anmärkningsvärda skadliga program, inklusive Mekotio (den ökända banktrojanen), Trickbot och AsyncRAT/NJRAT. I takt med att den här typen av cyberbrottslighet ökar och ett av tre hushåll i USA är infekterat med någon form av skadlig programvara, är det viktigt att förstå hur attacker med skadliga HTML-bilagor (och HTML-smuggling) fungerar och hur man skyddar sig mot dem. Av denna anledning har vi skapat den här guiden om HTML-bilagor och HTML-smuggling, så att du kan känna dig trygg när du vill kolla din e-post.
Vad är skadliga HTML-bilagor?
Skadliga HTML-bilagor är en typ av skadlig programvara som vanligen finns i e-postmeddelanden i form av en bilaga. De aktiveras i huvudsak när en användare klickar på den bifogade infekterade HTML-filen. När filen har öppnats dirigeras användaren via externa JavaScript-bibliotek till hackarens webbplats för nätfiske (eller någon annan typ av skadligt innehåll som kontrolleras av angriparen, såsom en inloggningssida). De mest välkända formerna av denna typ av HTML-nätfiskebedrägeri ser ofta ut som ett popup-fönster från Microsoft. I fönstret kommer användaren att ombes uppge någon form av personliga uppgifter/inloggningsuppgifter som gör det möjligt för dem att ladda ned den bifogade HTML-filen i e-postmeddelandet från hackaren. När uppgifterna har angetts skickas de vidare till hackaren som kan använda dem för att begå ekonomisk stöld, identitetsbedrägerier eller utpressning genom utpressningsvirus.
Vad är HTML-smuggling?
HTML-smuggling är känt som är en mer teknisk variant av attacker med HTML-bilagor med skadlig kod. Användningen av HTML 5 och JavaScript gör det möjligt för cyberbrottslingar att ”smuggla” skadlig kod till offrets dator via ett unikt utformat skript som är inbäddat i själva HTML-bilagan. När offret för attacken öppnar den skadliga HTML-bilagan i sin webbläsare avkodas det inbäddade skriptet, vilket monterar nyttolasten på offrets dator. Detta gör det möjligt för hackaren bygga den skadliga programvaran lokalt, bakom offrets brandvägg.
Den här typen av attack utnyttjar det faktum att HTML och JavaScript är två av de vanligaste och viktigaste komponenterna i betrodd daglig databehandling (när det gäller privat och företagsbruk). På detta vis kan den här tekniken kringgå standardprogram för säkerhetskontroll (t.ex. webbproxyservrar och e-postslussar) som bara kontrollerar trafikbaserade signaturer eller konventionellt misstänkta bilagstyper som .EXE, .ZIP eller .DOCX. Eftersom de skadliga filerna skapas efter att filen har lästs in via webbläsaren på offrets dator, registrerar vanliga säkerhetslösningar bara godartad HTML- och JavaScript-trafik. Vidare gör mer avancerade cyberbrottstekniker som ”obfuskering” det möjligt för hackare att framgångsrikt dölja sina skadliga skript från mer avancerade säkerhetsprogram.
HTML-smuggling fungerar genom att utnyttja ”nedladdningsattributet” för ankartaggar och användningen av JavaScript-blobbar för att montera nyttolasten på offrets enhet. När offret har klickat på ”nedladdningsattributet” kan HTML-filen automatiskt ladda ned en skadlig fil som nämns i ”href”-taggen. När det gäller JavaScript sker en liknande process: JavaScript-blobbar lagrar den skadliga filens kodade data, som sedan avkodas när den skickas till ett JavaScript-API som förväntar sig en URL. Detta innebär att den skadliga filen automatiskt laddas ned och monteras lokalt på offrets enhet med hjälp av JavaScript-koder.
Andra typer av skadliga e-postbilagor
HTML är en av de populäraste typerna av bilagor för att smuggla skadlig kod till en användares system, men det är viktigt att vara medveten om andra populära filtyper som kan vara lika farliga:
.EXE-filer
Som tidigare nämnt är .EXE-filer eller filer som kan köras på ett Windows-operativsystem en populär (och välkänd) hotvektor som du bör hålla ett öga på. Om du ser en av dessa i ett e-postmeddelande (från en betrodd avsändare eller någon annan) bör du undvika att ladda ned och öppna filen.
.ISO-filer
ISO-filer används vanligtvis för att lagra och byta ut en kopia av allt som finns på en dators diskenhet och distribuera system som Apple eller Windows. Eftersom Windows kan montera dessa filer utan någon extra programvara har den här typen av bilagor med skadlig kod blivit allt populärare de senaste åren. Om du tar emot detta via ett privat eller professionellt e-postkonto och inte har bett om ett helt system eller din dator inte är delad för att köra flera operativsystem, finns det inget behov av att ha den här filen. Så i nästan alla fall ska du avstå från att ladda ned filen och ta bort den från din inkorg, eftersom det nästan säkert är skadlig kod.
Microsoft Office-filer
Eftersom Microsoft Office-filer (som .DOCX, .XLSX och .PPTX) är allmänt förekommande som standardformat för företag världen över, är de det perfekta verktyget för att leverera alla typer av skadlig kod till aningslösa företag. De är också en av de svåraste att skydda sig mot och efterliknar ofta en brådskande faktura eller ett slutkrav, vilket lurar offret att öppna filerna.
Så här skyddar du dig mot skadliga HTML-bilagor
Som tur är finns det vissa åtgärder du kan vidta för att minska och försvara dig mot hotet från skadliga HTML-bilagor.
Ett system för att söka igenom och skydda e-post
Ett dedikerat system för genomsökning och skydd av din e-post är det första steget för att försvara dig mot skadliga e-postbilagor och inbäddade skript. Som nämnt ovan räcker det dock inte med standardiserade säkerhetssystem för att kontrollera det föränderliga hot som dagens cyberbrottslingar utgör. I dag rekommenderar specialister inom cybersäkerhet en antiviruslösning med maskininlärning och statisk kodanalys, som utvärderar e-postens faktiska innehåll och inte bara dess bilaga. För en avancerad cybersäkerhetslösning rekommenderar vi Kaspersky Premium. Vårt prisbelönta system för både företag och privatanvändare har ett premiumpaket med fjärrassistans och support dygnet runt, alla dagar i veckan.
Strikta åtkomstkontroller
Även om ett intrång eller en förlust av inloggningsuppgifter inträffar, är begränsning av användaråtkomst till väsentlig personal ett bra sätt att minska skadan som en cyberbrottsling kan orsaka. Du bör också se till att användare som har åtkomst till viktiga system använder flerfaktorsautentisering (ibland kallat MFA, tvåfaktorsverifiering eller 2FA) för att ytterligare minska exponeringen genom att lägga till fler lager i din cybersäkerhetsstrategi. Ett annat viktigt sätt att skydda dina viktiga tillgångar från felaktig åtkomst av anställda (särskilt om de arbetar på distans) är att använda ett virtuellt privat nätverk eller VPN. Kasperskys VPN låter användare ansluta till sitt företags servrar på distans via en krypterad digital tunnel. Denna tunnel skyddar deras system från de potentiella farorna med offentliga Wi-Fi-nätverk och osäkra internetanslutningar var än i världen de befinner sig.
Utbildning i cybersäkerhet och bästa praxis
Ett av de enklaste sätten att skydda värdefulla tillgångar mot angrepp med HTML-bilagor är att utbilda anställda (eller dig själv) i bästa praxis för cybersäkerhet samt hur man upptäcker misstänkta e-postmeddelanden, filer och bilagor. Det innebär bland annat att inte dela lösenord eller inloggningsuppgifter med kollegor, att inte återanvända lösenord för flera program eller konton (vi rekommenderar att du använder en lösenordshanterare eller ett valv som krypterar dina lösenord och fyller i dem automatiskt när det behövs) och att alltid använda ett starkt lösenord eller en stark lösenordsfras (som består av 10–12 tecken där specialtecken, siffror och stora och små bokstäver ingår).
Vanliga frågor om HTML-bilagor
Vad är HTML-bilagor?
HTML-bilagor är filer som har bifogats e-postmeddelanden med Hypertext Markup Language-kod. Under de senaste åren har skadliga HTML-bilagor (som innehåller inbäddad skadlig kod eller JavaScript-baserade länkar till nätfiskewebbplatser) blivit populära vektorer för cyberbrottslingar som vill kringgå brandväggar och skyddssystem för e-post.
Kan HTML-filer innehålla virus?
Ja, HTML-filer kan innehålla virus och andra typer av skadlig programvara, inklusive nätfiskebedrägerier och utpressningsvirus. Den här typen av cyberattack är känd som en skadlig HTML-bilaga eller HTML-smuggling. Det inbegriper att använda JavaScript-länkar till falska inloggningsfönster eller inbäddad skadlig programvara för att komma åt en användares inloggningsuppgifter och personliga filer.
Kan HTML-filer vara skadliga?
Ja, HTML-filer (inklusive bilagor i e-postmeddelanden) kan vara mycket skadliga för ditt system. Under de senaste åren har specialister inom cybersäkerhet sett en ökning i antalet sofistikerade cyberattacker som använder skadliga HTML-bilagor för att stjäla personuppgifter. Den här typen av attack kallas ofta HTML-smuggling.
Vad är HTML-smuggling?
HTML-smuggling är en alltmer populär form av cyberattack som utnyttjar Hypertext Markup Language (vanligtvis HTML 5) och JavaScript för att ”smuggla in” olika typer av skadlig kod i en användares system. Det kan kringgå traditionella skyddsprotokoll för e-post och låta hackare bygga den skadliga programvaran lokalt, bakom offrets brandvägg.
Relaterade artiklar:
- Vad är lösenordshanterare och är de säkra?
- Vad är utpressningsvirus?
- Vad är skräppost och nätfiskebedrägerier?
- Vad är trojaner, och vad finns det för olika typer?
Rekommenderade produkter:
