HTML-Schmuggel ist eine Technik zur Verbreitung von Schadsoftware, die legitime HTML5- und JavaScript-Funktionen nutzt, um Banking-Malware, Remote-Access-Trojaner (RATs) und andere Nutzlasten im Zusammenhang mit gezielten Cybersicherheitsangriffen einzusetzen.
Trotz kontinuierlicher Investitionen in Sicherheitstechnologien werden Phishing- und Malware-Angriffe weiterhin erfolgreich gegen Unternehmen durchgeführt. Insbesondere eine Technik, die aufgrund der zunehmenden Nutzung von Browsern immer beliebter wird, ist der HTML-Schmuggel. Dabei handelt es sich um eine Technik zur Verbreitung von Schadsoftware, die legitime HTML5- und JavaScript-Funktionen nutzt, um Banking-Malware, Remote-Access-Trojaner (RATs) und andere Nutzlasten im Zusammenhang mit gezielten Cybersicherheitsangriffen einzusetzen. Insbesondere wurde beobachtet, wie diese Technik von der berüchtigten NOBELIUM-Gruppe im Rahmen gezielter Spear-Phishing-Kampagnen eingesetzt wurde.
HTML-Schmuggel ist eine Form von Drive-by-Download (das unbeabsichtigte Herunterladen von bösartigem Code), bei dem ein Angreifer verschlüsselte bösartige Skripte in speziell gestalteten HTML-Anhängen oder Webseiten „schmuggelt“. Diese Angreifer nutzen die Vielseitigkeit von HTML und kombinieren es mit Social Engineering, um Benutzer zum Öffnen bösartiger Payloads zu verleiten. Da sich diese Angriffe als vertrauenswürdige, bekannte Marken wie Dropbox, Adobe Acrobat und Google Drive ausgeben, ist es weniger wahrscheinlich, dass Nutzer das Öffnen des HTML-Codes in ihrem Webbrowser hinterfragen.
Diese Technik beruht darauf, dass der Bedrohungsakteur Datei-Binärdateien in die HTML-Quelle der Webseite einbettet. Beim Rendern der Seite rekonstruiert der Browser die bösartige Datei und überträgt die neu zusammengestellte ausführbare Malware-Datei an das Host-Betriebssystem. Dabei werden Netzwerkfirewalls und Sicherheitslösungen, einschließlich Sandboxen und Virenschutz in älteren Proxys, effektiv umgangen. Darüber hinaus können Dateitypen, von denen angenommen wird, dass sie durch Secure Web Gateway-Richtlinien blockiert sind, immer noch per HTML zu Endpunkten gelangen.
HeatCheck-Sicherheitsbewertung
Herkömmliche Sicherheitslösungen wie Web-Proxys, E-Mail-Gateways und Sandboxen suchen in der Regel nur auf der Grundlage vorhandener Signaturen und des Musterabgleichs bekannter Bedrohungen nach verdächtigen Anhängen oder anomalem Datenverkehr. Durch den HTML-Schmuggel wird eine ausführbare Datei in einen verschlüsselten Text umgewandelt und dieser Text wird in die HTML-Quelle der Seite eingebettet, sodass er nicht auffindbar und in vielen Fällen für Inspektionsprogramme nicht lesbar ist. Die Datei sieht harmlos aus und kann problemlos überprüft werden. Die Quellen sehen legitim aus und verhalten sich wie gültige HTML- und Javascript-Anfragen. Sie tarnen sich quasi selbst, können aber auf dem Benutzerendpunkt wieder zu einer vollständig ausführbaren Malware zusammengefügt werden.
Der HTML-Schmuggel kann gestoppt werden, aber dafür sind Sichtbarkeit und Kontrolle im Browser erforderlich. Lösungen wie Cloud-basierte Browser Security können helfen, da sie die Ausführung dieser Webanfragen vom Endpunkt weg in einen virtuellen Container in der Cloud verlagern und so den Endbenutzer effektiv von allen schädlichen Inhalten trennen. Da kein Endpoint-Agent erforderlich ist und keine erkennbaren Auswirkungen auf die Benutzerleistung bestehen, sorgt die Isolierung für sicheres Surfen für den Benutzer und sorgt gleichzeitig für ein reibungsloses Erlebnis für den Endbenutzer.