マイクロソフトのセキュリティチームは、メールセキュリティシステムを回避してユーザーのデバイスにマルウェアを配信する「HTMLスマグリング(Smuggling)」と呼ばれる技術を悪用した数週間にわたるメールスパム攻撃を検出したと発表しました。
数週間にわたって追跡しているマルウェア攻撃では、攻撃者が悪意のあるリンクを含むメールを送信しており、クリックすると、HTMLスマグリングによってHTMLページに埋め込まれたコンポーネントがドロップされます。その結果、最終的にはJavaScriptファイルを含むZIPアーカイブが投下されます。
HTML スマグリングとは、HTML5 と JavaScript のコードを巧妙に使用することで、攻撃者がユーザーのデバイス上に悪意のあるファイルを組み立てることができる技術です。
電子メールベースのHTMLスマグリング攻撃の一般的な方法は、検査しても悪意があるようには見えず、EXE、DOC、MSIなど、電子メールセキュリティツールが危険だと考えるファイルタイプもないファイルへのリンクを電子メール内に含めることです。
しかし、「href」や「download」などの異なるHTML属性とJavaScriptコードを用いて、ユーザーがリンクにアクセスした際に、悪意のあるファイルをユーザーのブラウザ内で組み立てるという手法です。
この手法は新しいものではなく、2010年代半ばから知られており、少なくとも2019年からマルウェアグループに悪用され、2020年中でも目撃されています。
マイクロソフトはツイートで、HTMLスマグリングを悪用してユーザーのデバイスに悪意のあるZIPファイルをダウンロードするメールスパム攻撃を数週間にわたって追跡していると述べました。
このZIPファイルの中に含まれるファイルは、ラテンアメリカのユーザーをターゲットにしたバンキングトロイの木馬「Casbaneiro (Metamorfo)」に感染させます。
マイクロソフトは、「Microsoft Defender for Office 365」がHTMLスマグリング(Smuggling)によってダウンロードされたファイルを検出できるとしていますが、メールセキュリティ製品を使用していないユーザーはこの手法に気づいていない可能性があるとして警告しています
Comments