Investigaciones recientes de Barracuda revelan que casi una cuarta parte de todos los archivos adjuntos HTML en correos electrónicos son maliciosos, lo que los convierte en el tipo de archivo más utilizado con fines maliciosos en la actualidad. Los ciberdelincuentes explotan cada vez más los archivos adjuntos HTML para lanzar ataques de phishing, robar credenciales y distribuir malware, lo que subraya la urgente necesidad de aumentar la concienciación sobre la seguridad del correo electrónico y de implementar medidas de protección sólidas.
Técnicas de contrabando HTML explicadas
El contrabando HTML es un truco ingenioso que los atacantes utilizan para introducir malware eludiendo las defensas de seguridad, ocultando cargas maliciosas dentro de archivos HTML o páginas web aparentemente inofensivos. En lugar de enviar archivos ejecutables directamente—lo cual la mayoría de los gateways de correo electrónico y proxies bloquearían—los atacantes incrustan malware codificado (a menudo usando Base64 u otra codificación similar) dentro de HTML o JavaScript. Cuando un usuario abre el archivo adjunto o visita un sitio comprometido, su navegador decodifica y reconstruye silenciosamente el malware en el endpoint, eludiendo por completo la detección y el registro basados en la red.
Las técnicas clave incluyen:
- Usar Blobs de JavaScript y el atributo de descarga de HTML5 para ensamblar y activar descargas de archivos maliciosos localmente.
- Ofuscar las cargas útiles con funciones de codificación y decodificación como atob() o String.fromCharCode() para evadir los motores de inspección.
- Entregar el HTML inicial a través de correos electrónicos de phishing, descargas involuntarias o ataques de watering hole, a menudo disfrazados como facturas o comunicaciones de marcas confiables.
- Construir el archivo ejecutable final o archivo comprimido (como .zip o .iso) en el dispositivo de la víctima, lo que incluso puede eludir funciones de seguridad de Windows como Mark of the Web.
El sigilo de este método radica en su uso de tecnologías web cotidianas, haciendo que el contenido malicioso sea invisible para la mayoría de las herramientas de seguridad tradicionales hasta que ya es demasiado tarde.
Robo de credenciales mediante páginas de inicio de sesión falsas
Los atacantes suelen utilizar archivos adjuntos HTML y enlaces como armas para atraer a los usuarios e inducirlos a ingresar sus credenciales en páginas de inicio de sesión falsas que imitan marcas de confianza. Estas páginas fraudulentas a menudo rellenan previamente la dirección de correo electrónico de la víctima y son visualmente indistinguibles de las pantallas legítimas de inicio de sesión, engañando incluso a los usuarios más atentos para que entreguen información sensible. Una vez enviadas, las credenciales se transmiten directamente a los ciberdelincuentes—a veces mediante APIs o servicios de correo electrónico—lo que permite la rápida vulneración de cuentas y ataques adicionales.
Tácticas clave incluyen:
- Utilizar correos electrónicos de phishing urgentes o personalizados para atraer a las víctimas a abrir archivos adjuntos o hacer clic en enlaces.
- Alojar formularios de inicio de sesión falsos en dominios o servicios reputados, a veces aprovechando herramientas como Cloudflare Workers para capturar no solo contraseñas, sino también códigos de autenticación multifactor y tokens de sesión.
- Emplear ofuscación, cadenas de redirección y URLs con apariencia legítima para evadir la detección y aumentar la credibilidad.
Ofuscación de JavaScript en archivos adjuntos
La ofuscación es la navaja suiza del atacante para ocultar JavaScript malicioso dentro de archivos adjuntos HTML. En lugar de código legible, encontrarás un enredo de trucos de codificación: cadenas Base64 decodificadas con atob(), códigos de caracteres desentrañados por String.fromCharCode(), e incluso capas anidadas de funciones de decodificación que solo revelan sus secretos al ejecutarse en un navegador. Los atacantes frecuentemente dividen URL o cargas útiles en campos de entrada ocultos, las concatenan con JavaScript y utilizan múltiples rondas de decodificación para enturbiar aún más las aguas. A veces, la ofuscación es tan densa que incluso los analistas experimentados necesitan recetas personalizadas para decodificar las cargas útiles.
Estas técnicas no son solo para aparentar: están diseñadas para derrotar a los escáneres automatizados y la detección basada en firmas. Herramientas y scripts listos para usar para la ofuscación de JavaScript están ampliamente disponibles, permitiendo a los ciberdelincuentes generar archivos adjuntos en constante mutación que se escapan de los filtros. El resultado: código que parece un galimatías tanto para humanos como para máquinas, pero que cobra vida en cuanto se abre el archivo adjunto, entregando su carga maliciosa con destreza.
Vía Perplexity