Las técnicas de contrabando de HTML eluden las soluciones de seguridad de red tradicionales, como los escáneres de correo electrónico, los proxies y los entornos limitados, al usar las características de HTML5 y Javascript. Esto se hace generando el código HTML malicioso dentro del navegador en el dispositivo de destino que ya se encuentra dentro del perímetro de seguridad de la red. La mayoría de las soluciones de seguridad de red funcionan al monitorear el “cable” o el flujo de datos que entran y salen de la red en busca de patrones y firmas de malware conocido o sospechoso dentro del flujo de bytes. Mediante el uso de contrabando de HTML, la carga útil maliciosa se construye dentro del navegador en el dispositivo de destino para que no se transfieran objetos a través del cable para que los sistemas de seguridad del perímetro de la red los detecten.
Los ataques de este tipo permiten a un actor malicioso “pasar de contrabando” un script codificado dentro de un archivo adjunto HTML o una página web especialmente diseñada. Si el objetivo abre el HTML en su navegador web, el script malicioso se decodifica y la carga útil se implementa en su dispositivo. Por lo tanto, en lugar de que un ejecutable malicioso pase directamente a través de una red, el atacante construye el malware localmente detrás de un firewall.
El objetivo del contrabando de HTML es entregar una carga útil maliciosa al dispositivo de destino, y esto generalmente se hace mediante una descarga a través de una URL de datos (datos:) o mediante la creación de un blob de Javascript con el tipo MIME apropiado para activar una descarga al dispositivo. dispositivo cliente. El malware Duri, por ejemplo, utiliza la técnica de blob de Javascript para crear y descargar la carga útil maliciosa en el dispositivo de destino.
Cuando se activa al visitar un sitio web malicioso, el precargador de Duri usa Javascript para crear un archivo ZIP y depositarlo en la PC de destino. Luego, se debe engañar al usuario para que abra el archivo ZIP. Si esto sucede, se invoca el contenido del archivo ZIP: un paquete de Windows Installer que instalará la carga del malware en el dispositivo de destino.
Esta amenaza tampoco es imparable, un buen diseño de seguridad de red utiliza múltiples capas de seguridad proporcionadas por diferentes tecnologías para lograr una “defensa en profundidad”. Por lo tanto, incluso si el malware logra pasar el perímetro de la red, podría ser detectado o bloqueado por otros sistemas defensivos dentro de la red.