HTML؛ در نقش پیوست ایمیل فیشینگ

پیوست کردن فایل مخرب به ایمیل از قدیمی‌ترین روش‌های مورد استفاده مهاجمان برای انتشار بدافزار است.

سال‌ها پیش پیوست کردن فایل اجرایی بدافزار به ایمیل رواج بسیاری داشت. اما به تدریج کاربران به پرریسک بودن باز کردن پیوست‌های اجرایی آگاه شدند. راهکارهای امنیتی همچون ضدهرزنامه‌ها و محصولاتی نظیر Outlook نیز شانس رسیدن ایمیل‌های با پیوست اجرایی را به کاربران بشدت کاهش دادند. به نحوی که پیوست کردن فایل اجرایی مخرب به ایمیل سالهاست که رواج دو دهه قبل را ندارد.

مدتهاست که مهاجمان از انواع فایل‌های دیگر برای انتقال بدافزار به دستگاه قربانی و در ادامه اجرای آن بهره می‌برند. از جمله می‌توان به موارد زیر اشاره کرد:

• فایل‌های فشرده‌شده نظیر ZIP و RAR یا به اصطلاح Archive که در آنها فایل(هایی) مخرب جاسازی شده است. در مواقعی مهاجمان به فایل فشرده‌شده گذرواژه اعمال می‌کنند تا محصولات آنتی‌اسپم قادر به بازگشایی فایل و اسکن محتوای آن نباشند. معمولاً در این گونه موارد، مهاجم با درج گذرواژه در ایمیل ارسالی، قربانی را از آن مطلع می‌سازد؛
• فایل‌های ISO که همچون بند قبل خود حاوی فایل(های) مخرب موردنظر مهاجم هستند؛
• فایل‌های PDF که در آنها با اکسپلویت آسیب‌پذیری نرم‌افزار یا با سوءاستفاده از قابلیت پشتیبانی از JavaScript، فایل مخرب بر روی دستگاه اجرا می‌شود. حتی قابلیت‌هایی نظیر Submit Form بستر را برای سرقت اطلاعات از طریق فریب کاربر و تشویق او به ورود اطلاعات فراهم می‌کنند؛
• فایل‌های مجموعه‌نرم‌افزاری Office که با بکارگیری قابلیت Macros یا با اکسپلویت یک آسیب‌پذیری، بدافزار را دانلود و اجرا می‌کنند؛
• و بسیاری پسوندهای دیگر از جمله صفحات مبتنی بر HTML که موضوع اصلی این گزارش است.

HTML که خود یک زبان به اصطلاح نشانه‌گذاری (Markup Language) است در نسخه 5 خود تقریباً هر چیزی را می‌تواند در قالب یک صفحه وب به تصویر بکشد. ضمن آن که زبان‌های اسکریپت‌نویسی از جمله JavaScript به‌سادگی یک صفحه HTML را به برنامه‌ای پویا تبدیل می‌کنند. اما مهمترین مزیت HTML در مقایسه با انواع فایل‌های دیگر که در بالا به آنها اشاره شد، قابلیت اجرای آن بر روی هر دستگاه، صرف‌نظر از سیستم عامل و مرورگر است. مهاجمان از پیوست‌های HTML برای رسیدن به یکی از دو هدف زیر بهره می‌گیرند:

• سرقت اطلاعات حساس
• دریافت و اجرای بدافزار

سرقت اطلاعات حساس

سرقت اطلاعات حساس همچون اطلاعات بانکی را می‌توان به دو روش کلی دسته بندی کرد. در روش نخست، فایل HTML حاوی لینکی است که با بکارگیری تکنیک‌های مهندسی اجتماعی کاربر را به کلیک بر روی آن تشویق می‌کند. در صورت کلیک کاربر، او به وب‌سایتی که در کنترل مهاجم است وارد می‌شود. در عین حال مهاجم ممکن است اسکریپتی را در فایل HTML پیوست‌شده به ایمیل جاسازی کند که عملیات انتقال کاربر به وب‌سایت را به‌طور خودکار به‌محض باز شدن فایل انجام دهد. وب‌سایت مذکور می‌تواند تداعی‌کننده وب‌سایت یکی از بانک‌ها یا صفحه ورود به یک سرویس‌دهنده ایمیل باشد. باقی ماجرا مشخص است؛ هر اطلاعاتی که در آن وب‌سایت توسط کاربر ناآگاه وارد شود در نهایت به دست مهاجم می‌رسد.

در روش دوم اما دیگر خبری از وب‌سایت نیست. صفحه جعلی، همان فایل HTML پیوست‌شده به ایمیل است. با این توضیح که در زمان باز شدن منابعی همچون تصاویر را از روی اینترنت دریافت می‌کند.

دریافت و اجرای بدافزار

در اینجا فایل HTML نقش یک واسط را دارد. در زمان باز شدن یا با مهندسی اجتماعی کاربر متقاعد به کلیک بر روی لینک درج‌شده در آن می‌شود، یا به‌صورت خودکار فایل مخرب از اینترنت دانلود می‌شود و یا با اکسپلویت یک آسیب‌پذیری کد مخرب دریافت و اجرا می‌شود.

تصویر زیر نمونه‌ای از ایمیل‌های گروه Nobelium را نشان می‌دهد که در پاییز 1400 آن را به یکی از اهدافشان ارسال کرده بودند. در آن این‌طور القا می‌شود که ایمیل از سوی وزارت خارجه ایران به‌منظور اطلاع‌رسانی در خصوص تعطیلی سفارتخانه کشور در نتیجه ابتلای برخی کارکنان به کووید-19 که اسامی آنها نیز در ظاهر به ایمیل پیوست شده ارسال گردیده است.

فایل HTML حاوی مجموعه اسکریپت‌هایی است که به‌صورت خودکار یک فایل ISO را دانلود کرده و در صورت اجرای فایل درون آن توسط قربانی، دستگاه به تسخیر مهاجمان Nobelium درمی‌آید.

عبور از سد محصولات امنیتی

در اغلب موارد مهاجمان از روش‌های مختلف برای عبور از سد محصولات امنیتی استفاده می‌کنند. از جمله می‌توان به مبهم‌سازی (Obfuscation) کد اشاره کرد. برای نمونه، کد JavaScript زیر را در نظر بگیرید؛ وظیفه آن هدایت کاربر از صفحه HTML فعلی به نشانی www.rpnegar.com است.

window.location.replace("https://www.rpnegar.com")

تفسیر سطر بالا برای هر برنامه‌نویسی آسان است. حالا کد زیر را در نظر بگیرید:

function _0x4af6(_0x1ecb88,_0x4cc25d){var _0x48ea06=_0x48ea();return _0x4af6=function(_0x4af6c2,_0xaddbd5){_0x4af6c2=_0x4af6c2-0x19b;var _0xfc958d=_0x48ea06[_0x4af6c2];return _0xfc958d;},_0x4af6(_0x1ecb88,_0x4cc25d);}var _0x2d3c40=_0x4af6;(function(_0x31f3ca,_0x71df8e){var _0x1bef47=_0x4af6,_0x14ea3a=_0x31f3ca();while(!![]){try{var _0x38b3f5=-parseInt(_0x1bef47(0x1a1))/0x1+parseInt(_0x1bef47(0x1a2))/0x2+parseInt(_0x1bef47(0x19e))/0x3+-parseInt(_0x1bef47(0x19b))/0x4+-parseInt(_0x1bef47(0x19d))/0x5+-parseInt(_0x1bef47(0x19f))/0x6+-parseInt(_0x1bef47(0x1a3))/0x7;if(_0x38b3f5===_0x71df8e)break;else _0x14ea3a['push'](_0x14ea3a['shift']());}catch(_0x1806a2){_0x14ea3a['push'](_0x14ea3a['shift']());}}}(_0x48ea,0xef456),window[_0x2d3c40(0x19c)][_0x2d3c40(0x1a0)]('https://www.rpnegar.com'));function _0x48ea(){var _0x368096=['1831156BbfJeX','location','2598910oFTSwO','4602087axTyNl','5253366Tjqypl','replace','190523wZmhAL','3656806tMHXyK','2371061DYpafk'];_0x48ea=function(){return _0x368096;};return _0x48ea();}

این کد نیز دقیقاً همان کار کد قبلی را انجام می‌دهد. با این تفاوت که از طریق یک سرویس‌دهنده آنلاین که به رایگان برای همه در دسترس است مبهم‌سازی شده است. تحلیل کدهای مبهم‌سازی‌شده به‌خصوص اگر به‌صورت دستی و باالگوریتم‌های اختصاصی کدگذاری شده باشند دشوار و زمان‌بر است.

متداول‌تر از قبل

بر اساس گزارشی که کسپرسکی روز گذشته منتشر کرد این شرکت در چهار ماهه اول 2022، نزدیک به 2 میلیون ایمیل با پیوست HTML را شناسایی کرده است. سال گذشته نیز شرکت مایکروسافت از گسترش پیوست‌های HTML به ویژه در جریان انتشار بدافزارهای بانکی و حملات هدفمند خبر داد. با توجه به اقدامات سال‌های اخیر و پیش‌روی مایکروسافت در مقاوم‌سازی قابلیت Macros در مجموعه‌نرم‌افزاری Office و همچنین افزوده شدن کنترل‌ها و سندباکس‌های امنیتی به نرم‌افزارهایی نظیر Acrobat به نظر می‌رسد که در آینده بیش از قبل شاهد استقبال مهاجمان از پیوست‌های HTML مخرب باشیم.

مقابله

آگاهی کاربران در پرهیز از باز کردن پیوست‌های مشکوک و عدم کلیک بر روی لینک‌های ناآشنا نقشی کلیدی در ایمن ماندن از گزند این تهدیدات دارد. «آروید» محصولی پیشرفته برای رسیدن به این هدف است. این محصول، با شبیه‌سازی تهدیدات مبتنی بر ایمیل بر پایه جدیدترین نمونه‌های مخرب فعال در ایران و جهان به‌طور مؤثر و چشمگیر میزان آمادگی کارکنان سازمانتان را در مقابله با آنها افزایش می‌دهد. در صورت نیاز به اطلاعات بیشتر یا دموی این محصول با شماره ۹۱۰۳۱۹۷۳-۰۲۱ تماس بگیرید.