HTML kaçakçılığı, tehdit aktörleri tarafından görünüşte zararsız HTML dosyalarına kötü amaçlı JavaScript yerleştirerek kötü amaçlı yazılım dağıtmak için kullanılan karmaşık bir tekniktir.
Bu yöntem, HTML5 ve JavaScript özelliklerinden yararlanarak saldırganların, HTML dosyası açıldığında doğrudan kurbanın makinesinde veriler oluşturmasına olanak tanır.
Trustwave SpiderLabs araştırmacıları yakın zamanda bilgisayar korsanlarının karmaşık kimlik avı sayfaları sunmak için HTML kaçakçılığı tekniklerini aktif olarak kötüye kullandığını tespit etti.
Bilgisayar korsanları HTML Kaçakçılığı Tekniğini Kötüye Kullanıyor
Araştırmacılar, “HTML kaçakçılığını” kullanan “karmaşık bir kimlik avı kampanyasını” ortaya çıkardı. Saldırı vektörü, “American Express”i taklit eden bir e-postayla başladı ve bu e-posta, ‘yönlendirici’ görevi gören tıklanabilir bir bağlantı içeriyor.
Küçük İşletmelerin Gelişmiş Siber Tehditlere Karşı Nasıl Korunacağı Konusunda Ücretsiz Web Semineri -> Ücretsiz Kayıt
Bu ilk yönlendirme, ikinci bir yeniden yönlendiriciye yol açsa da sonuçta bir ‘HTML dosyası’ barındıran “Cloudflare R2” genel paketine işaret ediyordu.
“JavaScript”, gerçek kimlik avı sayfasını uzun bir ‘Base64 dizesi’ olarak kodlayarak ‘HTML kaçakçılığından’ yararlandı. Çalıştırıldığında, “atob() işlevini” kullanan komut dosyası, ‘Base64 dizesinin’ kodunu düz “HTML”ye dönüştürür.
Daha sonra ‘kodu çözülmüş HTML’den bir ‘Blob nesnesi’ oluşturur, ardından ‘window.URL.createObjectURL()’ kullanarak bir ‘blob URL’si’ oluşturur ve ardından bu içeriği ‘window.php’ aracılığıyla mevcut tarayıcı penceresine yükler. konum.href.”
Saldırganlar, zararlı yükü görünüşte zararsız “HTML ve JavaScript” olarak sunarak belirli güvenlik önlemlerinden kaçarlar. Bu eksiksiz mekanizma, istemci tarafında yürütüldüğünde gerçek kimlik avı sayfasını ortaya çıkarmalarına olanak tanır.
Tüm süreç, özellikle tespit edilmekten kaçınmak ve potansiyel kurbanlara ikna edici bir kimlik avı deneyimi sunmak için tasarlanmış “çok aşamalı” bir saldırı zincirini göstermektedir.
“Blob URL’leri ve URI’ler”, blob nesnelerinde depolanan ikili verilere başvuran geçici web adresleridir.
Bu nesneler, tehdit aktörlerinin web tarayıcılarındaki dosyaları ve medyayı esnek bir şekilde yönetmesine olanak tanır.
Ancak tehdit aktörleri, kötü amaçlı dosyaları ‘sunucudan indirmek’ yerine doğrudan “kullanıcının tarayıcısında” oluşturmak için “HTML kaçakçılığı” yoluyla bu teknolojiden yararlanıyor.
Bu yöntem, ‘gelen sunucu tarafı içeriğini’ izleyen güvenlik önlemlerinden kaçmaya yardımcı olan ‘istemci tarafı dosyaları’ oluşturur.
Bunun yanı sıra, HTML kaçakçılığı, zararsız veri görünümüne bürünen zararlı veri yüklerinin gizlice dağıtılmasına olanak sağlar.
Dosyaları yerel olarak oluşturmak ve işlemek için blob URL’lerini kullanmak, saldırganların fark edilmesi ve izlenmesi zor olan gizli operasyonlar yürütmesine olanak tanır.
Bu teknik, görünüşte zararsız HTML dosyalarındaki kimlik avı içeriğini gizleyerek “e-posta tarayıcılarından”, “uç nokta korumasından” ve diğer “güvenlik araçlarından” kaçtığı için özellikle bulut çağında etkilidir.
Bu işlem genellikle gizlenmiş JavaScript kodunun yerleştirilmesini içerir; yürütüldüğünde, kötü amaçlı bir yük oluşturmak ve dağıtmak için blob URL’lerini kullanır. Bu eksiksiz süreç, tespit etmeyi daha da zorlaştırır.
ANY.RUN’un Yeni Güvenli Tarama Aracını Kullanarak Şüpheli Bağlantıları Analiz Edin: Ücretsiz Deneyin