O que é criptografia de dados?

em

Anexos HTML em e-mails de phishing

em

Anexos HTML em e-mails de phishing

O uso de documentos HTML incorporados em e-mails de phishing é uma técnica padrão empregada por cibercriminosos. Elimina a necessidade de colocar links no corpo do e-mail, que os mecanismos antispam e antivírus de e-mail costumam detectar com facilidade. O HTML oferece mais possibilidades do que o e-mail para camuflar o conteúdo de phishing.

Existem dois tipos principais de anexos HTML que os cibercriminosos usam: arquivos HTML com um link para um site falso ou uma página de phishing completa. No primeiro caso, os invasores podem não apenas ocultar um link no arquivo, mas também redirecionar automaticamente o usuário para o site fraudulento ao abrir esse arquivo. O segundo tipo de anexo HTML permite pular completamente a criação do site e economizar nos custos de hospedagem: o formulário de phishing e o script que coleta os dados são incorporados diretamente no anexo. Além disso, um arquivo HTML, como um e-mail, pode ser modificado de acordo com a vítima e o vetor de ataque pretendidos, permitindo um conteúdo de phishing mais personalizado.

Figura 1. Exemplo de e-mail com um anexo HTML

Estrutura de anexos HTML de phishing

Elementos de phishing em anexos HTML geralmente são implementados usando JavaScript, que lida com o redirecionamento do usuário para um site de phishing ou coleta e envio de credenciais para golpistas.

Fig. 2. Página HTML de phishing e seu código-fonte

Normalmente, a página HTML envia dados para uma URL maliciosa especificada no script. Alguns anexos consistem inteiramente (ou principalmente) em um script JS.

No código-fonte do e-mail, o anexo HTML parece texto simples, geralmente codificado em Base64.

Fig. 3. Anexo HTML no código-fonte do e-mail

Se um arquivo contiver scripts maliciosos ou links em texto simples, o software de segurança poderá analisá-lo e bloqueá-lo rapidamente. Para evitar isso, os cibercriminosos recorrem a vários truques.

Ofuscação de JavaScript

A ofuscação de JavaScript é uma das técnicas mais comuns usadas para disfarçar anexos HTML. Para evitar que o URL no arquivo seja detectado e bloqueado rapidamente, os phishers ofuscam o próprio link de phishing ou o script inteiro e, às vezes, todo o arquivo HTML. Em alguns casos, os cibercriminosos ofuscam o código manualmente, mas geralmente usam ferramentas prontas, muitas das quais estão disponíveis gratuitamente, como JavaScript Obfuscator .

Por exemplo, abrindo o anexo HTML no e-mail de phishing supostamente do HSBC Bank (veja a Fig. 1) em um editor de texto, vemos um código JS bastante confuso, que, ao que parece, não sugere nem abrir um link nem qualquer outra ação significativa.

Fig. 4. Exemplo de ofuscação em um anexo HTML

No entanto, na verdade é um script ofuscado que redireciona o usuário para um site de phishing. Para disfarçar o link de phishing, os invasores usaram uma ferramenta pronta, permitindo desobstruir facilmente o script.

Fig. 5. Script desofuscado de um anexo em um e-mail aparentemente do HSBC Bank: link para redirecionar o usuário

Se um script, link ou página HTML for ofuscado manualmente, será muito mais difícil restaurar o código original. Para detectar conteúdo de phishing em tal arquivo, pode ser necessária uma análise dinâmica, que envolve a execução e depuração do código.

Codificação

Às vezes, os invasores usam métodos mais interessantes. Em um e-mail de phishing, por exemplo, encontramos um anexo HTML incomum. Como no exemplo acima, continha JavaScript. Como o código era tão compacto, pode-se pensar que ele estava fazendo o mesmo que o código do e-mail falso do HSBC — ou seja, redirecionando o usuário para um site de phishing. Mas ao executá-lo, encontramos uma página de phishing completa codificada neste pequeno script.

Fig. 6. Arquivo HTML usando o método unescape - o código-fonte do arquivo contém apenas cinco linhas, uma das quais está vazia

F7. Página de phishing no anexo HTML

Os cibercriminosos usaram um truque interessante que envolve o obsoleto método JS unescape. Este método substitui as sequências de caracteres “%xx” por seus equivalentes ASCII na string que é passada para ele. Executando o script e visualizando o código-fonte da página resultante, vemos HTML simples.

Fig. 8. O arquivo HTML resultante

Em vez de unescape, o JavaScript agora usa os métodos decodeURI e decodeURIComponent, mas a maioria dos navegadores modernos ainda suporta unescape. Não podemos dizer com certeza por que os invasores escolheram um método obsoleto, mas pode ser porque os métodos modernos são mais propensos a serem interpretados e detectados por mecanismos antispam.

Estatisticas

Nos primeiros quatro meses de 2022, as soluções de segurança da Kaspersky detectaram quase 2 milhões de e-mails contendo anexos HTML maliciosos. Quase metade deles (851.328) foram detectados e bloqueados em março. Janeiro foi o mês mais calmo, com nossas soluções antispam detectando 299.859 e-mails com anexos HTML de phishing.

Fig. 9. Número de e-mails detectados com anexos HTML maliciosos, janeiro a abril de 2022

Conclusão

Os phishers implantam uma variedade de truques para contornar o bloqueio de e-mail e atrair o maior número possível de usuários para seus sites fraudulentos. Uma técnica comum são anexos HTML com código parcialmente ou totalmente ofuscado. Os arquivos HTML permitem que os invasores usem scripts, ofusquem conteúdo malicioso para dificultar a detecção e enviem páginas de phishing como anexos em vez de links.

As soluções de segurança da Kaspersky detectam anexos HTML contendo scripts, independentemente da ofuscação.