Sejak Microsoft memulai pemblokiran default makro dalam dokumen yang dikirim melalui internet, telah terjadi peningkatan penggunaan file HTML untuk mengirimkan malware.
Penelitian oleh Trustwave Spiderlabs mengungkapkan peningkatan yang disebut ‘penyelundupan HTML’ menggunakan atribut HTML5 yang dapat bekerja secara offline dengan menyimpan biner dalam gumpalan data yang tidak dapat diubah dalam kode JavaScript. Muatan yang disematkan kemudian diterjemahkan menjadi objek file saat dibuka melalui browser web.
Hal ini memungkinkan pelaku ancaman memanfaatkan keserbagunaan HTML yang dikombinasikan dengan rekayasa sosial untuk memikat pengguna agar menyimpan dan membuka muatan berbahaya. Kampanye terbaru meniru merek terkenal seperti Adobe Acrobat, Google Drive, dan Dropbox untuk meningkatkan peluang pengguna membuka arsip.
Strain malware yang dikirimkan termasuk Qakbot Trojan dan Cobalt Strike – alat pengujian pena yang sering disalahgunakan oleh pelaku ancaman untuk menyelidiki jaringan untuk mencari kerentanan.
Peneliti keamanan Bernard Bautista dan Diana Lopera menulis di blog Spiderlabs:
Kami memperkirakan akan melihat malware yang lebih canggih dikirimkan melalui penyelundupan HTML dengan iming-iming yang lebih menarik yang meniru produk terkenal dan trik rekayasa sosial, penyamaran kompleks pada tingkat HTML yang menghindari deteksi berbasis tanda tangan, dan beragam urutan serangan yang mungkin memerlukan lebih banyak interaksi pengguna tetapi mungkin masih efektif untuk mendapatkan akses awal.
Kami selalu mengingatkan semua orang untuk tetap waspada dalam lanskap digital yang terus berubah ini.
Anda dapat membaca lebih lanjut di blog Spiderlabs.
Kredit gambar: Rawpixel/depositphotos.com
