In de afgelopen drie jaar is de onopvallende e-malbijlage een van de meest populaire vectoren geweest voor het afleveren van malware en andere soorten schadelijke code. Meer in het bijzonder zijn bijlagen gecodeerd in de Hypertext Markup Language of HTML, steeds populairder geworden om een aantal verschillende (en meer geavanceerde) cybermisdrijven uit te voeren, waaronder identiteitsfraude via Trojaanse RAT's (Remote Access Trojans), ransomware-aanvallen en phishing. Wat zorgen baart, is dat dit geen geïsoleerd incident of een soort van massale aanval van één type bedreiging is. Kwaadwillige HTML-bijlagen lijken nu de voorkeurskeuze te zijn van veel individuele hackers over de hele wereld in 2023.
Soms aangeduid als "HTML-smuggling" (HTML-smokkel) in meer verfijnde gevallen waar de kwaadaardige lading in de HTML-bijlage zelf verstopt zit. Deze techniek (hoewel al lang bekend en gebruikt door verschillende cybercriminelen in de loop der jaren) werd vooral bekend tijdens een spear-phishing-campagne van de beruchte bedreiging NOBELIUM. In de afgelopen jaren werd deze techniek gebruikt om een reeks opmerkelijke malware te leveren, waaronder Mekotio (de beruchte bank-Trojan), Trickbot en AsyncRAT / NJRAT. Met de opkomst van dit type cybercriminaliteit en het feit dat een op de drie Amerikaanse huizen geïnfecteerd is met een of andere malware, is het belangrijk om te begrijpen hoe aanvallen met kwaadaardige HTML-bijlagen (en HTML-smuggling) werken, en hoe je jezelf hiertegen kunt beschermen. Daarom hebben we deze handleiding voor HTML-bijlagen en HTML-smuggling ontwikkeld, zodat je altijd en overal met een gerust hart je e-mails kunt bekijken.
Wat zijn kwaadwillige HTML-bijlagen?
Kwaadwillige HTML-bijlagen zijn een soort malware die meestal terug te vinden zijn in de vorm van hun bijlagen. Ze worden voornamelijk geactiveerd wanneer de gebruiker op de geïnfecteerde HTML-bestandsbijlage klikt. Eenmaal geopend, wordt de gebruiker via extern gehoste JavaScript-bibliotheken omgeleid naar de phishingwebsite van de hacker (of een andere vorm van schadelijke inhoud die wordt gecontroleerd door de aanvaller, zoals een aanmeldingspagina). De meest bekende vormen van dit soort HTML-phishing zien er vaak uit als een Microsoft pop-upvenster. In het venster wordt de gebruiker gevraagd om persoonlijke aanmeldingsgegevens in te voeren waarmee ze de HTML-bestandsbijlage kunnen downloaden die in de e-mail van de hacker is ontvangen. Eenmaal ingevoerd, worden de gegevens van de gebruiker naar de hacker gestuurd voor verdere exploitatie, zoals financiële diefstal, identiteitsfraude en afpersing via ransomware.
Wat is HTML-smuggling?
HTML-smuggling staat bekend als een meer technische vorm van een malware-aanval via HTML-bijlage. Hierbij wordt gebruik gemaakt van HTML 5 en JavaScript om een cybercrimineel toe te staan kwaadaardige code naar de computer van het slachtoffer te "smokkelen" via een uniek gemaakt script, dat is ingebed in de HTML-bijlage zelf. Wanneer het slachtoffer van de aanval de kwaadaardige HTML-bijlage in zijn webbrowser opent, decodeert de browser het ingesloten script en wordt de payload op de computer van het slachtoffer samengesteld. Hierdoor kan de hacker de malware lokaal opbouwen achter de firewall van het slachtoffer.
Dit type aanval maakt gebruik van het feit dat zowel HTML als JavaScript enkele van de meest voorkomende en belangrijke onderdelen van vertrouwde dagelijkse computertaken zijn (zowel zakelijk als persoonlijk). Als gevolg hiervan kan deze techniek vervolgens de standaardsoftware voor beveiligingscontrole omzeilen (zoals webproxy's en e-mailgateways) die alleen controleren op traffic based signatures of conventioneel verdachte bijlagen zoals .EXE, .ZIP of .DOCX. Aangezien de schadelijke bestanden worden gemaakt nadat het bestand via de browser op het systeem van het slachtoffer is geladen, zullen standaard beveiligingsoplossingen alleen goedaardig HTML- en JavaScript-verkeer registreren. Bovendien kunnen hackers met meer geavanceerde cybercriminele technieken hun kwaadaardige scripts met succes verbergen voor meer geavanceerde beveiligingssoftware.
HTML-smuggling werkt door gebruik te maken van het "download"-attribuut voor anchor-tags en het gebruik van JavaScript-blobs om de payload op het apparaat van het slachtoffer te assembleren. Zodra op het kenmerk "download" is geklikt, kan een HTML-bestand automatisch een kwaadaardig bestand downloaden waarnaar wordt verwezen in de tag "href". Met het gebruik van JavaScript wordt een vergelijkbaar proces uitgevoerd: de JavaScript-blobs slaan de gecodeerde gegevens van het kwaadaardige bestand op, dat vervolgens wordt gedecodeerd wanneer het wordt doorgegeven aan een JavaScript-API die een URL verwacht. Dit betekent dat het kwaadaardige bestand automatisch wordt gedownload en lokaal op het apparaat van het slachtoffer wordt opgebouwd met behulp van JavaScript-codes.
Andere soorten kwaadaardige e-mailbijlagen
HTML is een van de meest populaire soorten bijlagen om malware naar het systeem van een gebruiker te smokkelen. Daarom is het belangrijk om op de hoogte te zijn van andere populaire bestandstypen die even gevaarlijk kunnen zijn:
.EXE-bestanden
Zoals eerder vermeld, zijn .EXE-bestanden of uitvoerbare bestanden op een Windows-besturingssysteem een populaire (en bekende) bedreigingsvector waar je op moet letten. Als je deze tegenkomt in een e-mail (van een vertrouwde afzender of anders), moet je vermijden het bestand te downloaden en activeren.
.ISO-bestanden
ISO-bestanden worden meestal gebruikt om een kopie van alles op de schijf van een computer op te slaan en uit te wisselen en om systemen zoals Apple of Windows te distribueren. Aangezien Windows deze bestanden nu kan koppelen zonder extra software, heeft dit type malware-bijlage de afgelopen jaren aan populariteit gewonnen. Als je deze echter ontvangt via een persoonlijk of professioneel e-mailaccount en niet hebt gevraagd om een volledig systeem of je computer niet partitioneert om meerdere besturingssystemen uit te voeren, is het niet nodig om dit bestand te hebben. Download dit dus in vrijwel geen enkel geval en verwijder dit bestand uit uw inbox, want het is bijna zeker malware.
Microsoft Office-bestanden
Aangezien Microsoft Office-bestanden (zoals .DOCX, .XLSX of .PPTX) overal aanwezig zijn als de standaard zakelijke bestandsindelingen over de hele wereld, zijn ze het ideale voertuig om allerlei soorten malware te leveren aan nietsvermoedende bedrijven. Ze zijn ook een van de moeilijkste om tegen te houden en worden meestal gezien in de vorm van een dringende factuur of eindvraag, die het slachtoffer misleidt om de bestanden te openen.
Jezelf beschermen tegen aanvallen met schadelijke HTML-bijlagen
Gelukkig zijn er een aantal stappen die je kunt nemen om de dreiging van kwaadaardige HTML-bijlagen te beperken en te verdedigen.
Systemen voor het scannen en beschermen van e-mails
Een speciaal systeem voor het scannen en beveiligen van e-mail is de eerste verdediging tegen kwaadwillige e-mailbijlagen en ingesloten scripts. Zoals hierboven vermeld, zijn standaard beveiligingssystemen echter niet genoeg om de ontwikkelende dreiging van de hedendaagse cybercriminelen te beheersen. Vandaag raden specialisten in cyberbeveiliging een anti-virusoplossing aan met machine learning en statische analyse van codes, die de werkelijke inhoud van e-mails evalueert, en niet alleen maar het bestandstype van de bijlage. Voor een geavanceerde online cyberbeveiligingsoplossing raden we Kaspersky Premium aan. Ons premium pakket, een bekroond systeem voor zowel bedrijven als particuliere gebruikers, wordt geleverd met hulp op afstand en 24/7 ondersteuning.
Strikte toegangsrechten
Zelfs als er sprake is van een inbreuk of verlies van aanmeldingsgegevens, is het beperken van toegang tot alleen essentieel personeel een geweldige manier om de schade te beperken die een cybercrimineel realistisch gezien kan toebrengen. Je moet er ook voor zorgen dat gebruikers die wel toegang hebben tot vitale systemen gebruikmaken van multifactorauthenticatie (soms aangeduid als MFA, tweevoudige verificatie of 2FA) om de blootstelling verder te verminderen door een extra laag toe te voegen aan je cyberbeveiliging. Daarnaast is het gebruik van een Virtual Private Network of VPN een belangrijke manier om uw vitale bedrijfsmiddelen te beschermen tegen toegangsfouten van werknemers (vooral als ze op afstand werken). Met de VPN van Kaspersky kunnen gebruikers op afstand verbinding maken met de servers van hun bedrijf via een gecodeerde digitale tunnel. Deze tunnel beschermt hun systeem tegen de potentiële gevaren van openbare wifi en onbeveiligde internetverbindingen, waar ter wereld ze zich ook bevinden.
Training in cyberbeveiliging en best practices
Een van de eenvoudigste manieren om kostbare middelen te beschermen tegen een aanval met HTML-bijlage is om je personeel (of jezelf) te trainen in best practices voor cyberbeveiliging en hoe je verdachte e-mails, bestanden en bijlagen kunt herkennen. Dit omvat het niet delen van wachtwoorden of zakelijke inloggegevens met collega's, het niet hergebruiken van wachtwoorden voor meerdere software of accounts (we raden het gebruik van een wachtwoordmanager of kluis, waarmee je wachtwoorden worden gecodeerd en automatisch worden ingevuld (indien nodig), en altijd met een sterk wachtwoord of wachtwoordzin (10-12 tekens lang, met een mix van speciale tekens, cijfers, hoofdletters en kleine letters).
Veelgestelde vragen over HTML-bijlagen
Wat zijn HTML-bijlagen?
HTML-bijlagen zijn bestanden die zijn gekoppeld aan e-mails die zijn gecodeerd in de Hypertext Markup Language. De afgelopen jaren zijn kwaadaardige HTML-bijlagen (die met ingebouwde malware of op JavaScript gebaseerde links naar phishingwebsites bevatten) populaire vectoren geworden voor cybercriminelen die e-mailfirewalls en beveiligingssystemen willen omzeilen.
Kunnen HTML-bestanden virussen bevatten?
Ja, HTML-bestanden kunnen virussen en andere soorten malware bevatten, inclusief scams en ransomware. Dit type cyberaanval kennen we als een kwaadaardige HTML-bijlage of HTML-smuggling-aanval. Het gaat om het gebruik van JavaScript-koppelingen om valse aanmeldingsvensters of ingesloten malware te gebruiken om de aanmeldingsgegevens en persoonlijke bestanden van een gebruiker te exploiteren.
Kunnen HTML-bestanden gevaarlijk zijn?
Ja, HTML-bestanden (inclusief bijlagen op e-mails) kunnen zeer gevaarlijk zijn voor je systeem. De afgelopen jaren hebben cyberbeveiligingsspecialisten een stijging gezien van het aantal geavanceerde cyberaanvallen waarbij kwaadwillige HTML-bijlagen worden gebruikt om persoonlijke gegevens te stelen. Dit type aanval wordt vaak HTML-smuggling genoemd.
Wat is HTML-smuggling?
HTML-smuggling is een steeds populairdere vorm van cyberaanval die gebruikmaakt van de Hypertext Markup Language (meestal HTML 5) en JavaScript om verschillende vormen van malware naar het systeem van een gebruiker te "smokkelen". Het kan traditionele e-mailbeveiligingsprotocollen omzeilen en de hacker toestaan om de malware lokaal op te bouwen achter de firewall van het slachtoffer.
Gerelateerde artikelen:
- Wat zijn Password Managers en zijn ze veilig?
- Wat is ransomware?
- Wat zijn spam en phishingscams?
- Wat zijn trojans en welke soorten trojans zijn er?
Aanbevolen producten:
