Kimlik avı saldırganları, kötü amaçlı bir veri göndermek için bir HTML kaçakçılığı tekniği kullandı; saldırı zinciri, American Express bildirimini taklit eden bir kimlik avı e-postasıyla başladı ve bir dizi yönlendirmeye yol açtı.
Son yönlendirme, Base64 kodlu bir dize içeren harici bir JavaScript kodu yükleyen bir HTML dosyasını barındıran Cloudflare R2 genel paketine işaret ediyordu; bu kod, kodu çözüldüğünde gerçek kimlik avı sayfasını açığa çıkarıyor ve HTML kaçakçılığının kötü amaçlı içeriği gizlemedeki etkinliğini gösteriyor.
JavaScript kodu, işlevselliğini yürütmeden önce ilk olarak sayfanın yüklenmesini bekler ve ardından Base64 kodlu bir HTML dizesinin kodunu, kullanıcıları hassas bilgileri açığa çıkarmaları için kandırmak üzere tasarlanmış kötü amaçlı bir kimlik avı sayfası olan düz metne dönüştürür.
Kodun amacı, web sayfası içinde gizli bir iframe oluşturmak ve kodu çözülmüş kimlik avı içeriğini buna yüklemek, böylece kötü amaçlı etkinliği kullanıcıdan etkili bir şekilde gizlemektir.
openFileURL işlevi, kodu çözülmüş HTML içeriğinden indirilebilir veya görüntülenebilir bir dosya oluşturur; bu dosya, önce kodu çözülmüş verileri ve belirtilen içerik türünü kullanarak bir blob nesnesi oluşturur ve ardından bu blobu referans alan bir URL oluşturur.
Son olarak tarayıcıyı bu URL’ye yönlendirerek içeriğin yüklenmesine ve görüntülenmesine neden olur. Bellek sızıntılarını önlemek için işlev, kısa bir gecikmenin ardından blob URL’sini iptal eder.
Blob URL’leri, tarayıcıda depolanan ikili verilere işaret eden geçici web adresleridir. Siber suçlular, geleneksel güvenlik önlemlerini atlayarak yerel olarak kötü amaçlı dosyalar oluşturmak için bu özellikten yararlanır.
Bu dosyalar, zararlı verileri doğrudan kullanıcılara iletmek için kullanılabilir ve bu da saldırıların tespit edilmesini ve izlenmesini zorlaştırır.
Saldırganlar, istemci tarafında dosyalar oluşturarak bunları görünüşte normal web sayfalarına gömebilir veya tarayıcının güvenlik açıklarından yararlanarak önemli bir güvenlik riski oluşturabilir.
Kimlik avı sayfaları, kötü amaçlı kodun görünüşte meşru HTML öğeleri içinde gizlendiği karmaşık bir HTML kaçakçılığı tekniğini göstermektedir.
Sayfalar, DocuSign ve Microsoft gibi saygın hizmetleri taklit ederek kullanıcıları hassas bilgiler girmeleri konusunda kandırmayı amaçlıyor.
Saldırganlar, HTML’nin esnekliğinden yararlanarak, HTML yapısı içindeki kötü amaçlı kodu başarılı bir şekilde gizleyerek, geleneksel güvenlik önlemleriyle tespit edilmesini zorlaştırıyor; bu da, dikkatli güvenlik uygulamalarının önemini ve gelişen kimlik avı saldırılarıyla mücadele etmek için gelişmiş tehdit algılama mekanizmalarına duyulan ihtiyacı vurguluyor.
HTML kaçakçılığı, genellikle gizli verilere referans vermek için blob URL’leri gibi şaşırtma tekniklerini kullanarak görünüşte zararsız HTML dosyaları içindeki kötü amaçlı içeriği gizlemeyi içeren geleneksel güvenlik önlemlerini atlama yeteneği nedeniyle kimlik avı saldırılarında giderek artan bir endişe kaynağıdır.
Trustwave’e göre, kimlik avı saldırıları daha karmaşık hale geldikçe HTML kaçakçılığının kullanımının artması bekleniyor; bu da kuruluşların bu tür tehditleri tespit edip azaltabilecek gelişmiş güvenlik çözümlerini benimsemesini zorunlu hale getiriyor.