Negli ultimi tre anni, uno dei vettori più popolari per il malware e altri tipi di codice dannoso è stato il semplice allegato ai messaggi e-mail. In particolare, gli allegati codificati in HTML (Hypertext Markup Language) sono diventati una tecnica sempre più diffusa per mettere in atto una serie di cybercrimini diversi e sempre più sofisticati, tra cui la frode d'identità tramite Trojan ad accesso remoto (RAT), gli attacchi ransomware e le truffe di phishing. La cosa preoccupante è che non si tratta di un incidente isolato o di una sorta di attacco in massa da parte di un unico agente di minaccia. Nel 2023, gli allegati HTML dannosi sembrano essere diventati la scelta preferita di molti hacker che operano individualmente in tutto il mondo.
Talvolta definita come "smuggling HTML" nei casi più sofisticati in cui il payload dannoso si trova nell'allegato HTML stesso, questa tecnica (benché nota da tempo e utilizzata da vari cybercriminali nel corso degli anni) è salita alla ribalta grazie a una campagna di spear-phishing promossa dal noto attore di minacce NOBELIUM. Negli ultimi anni, questa tecnica è stata utilizzata per diffondere una serie di minacce malware di rilievo, tra cui Mekotio (il famigerato Trojan bancario), Trickbot, e AsyncRAT/NJRAT. Con l'aumento di questo tipo di cybercrimini, per cui una casa su tre negli Stati Uniti è stata infettata da un qualche tipo di malware, è importante capire come funzionano gli attacchi con allegati HTML dannosi (e smuggling HTML) e come proteggersi da queste minacce. Abbiamo quindi realizzato questa guida agli allegati e allo smuggling HTML per consentirti di accedere alle tue e-mail ovunque e in piena tranquillità.
Che cosa sono gli allegati HTML dannosi?
Gli allegati HTML dannosi sono un tipo di malware che in genere si trova nei messaggi e-mail sotto forma di allegati. Si attivano principalmente quando l'utente fa clic sul file HTML allegato infetto. Una volta aperto il file, l'utente viene reindirizzato tramite librerie JavaScript ospitate esternamente al sito Web di phishing dell'hacker (o a un'altra forma di contenuto dannoso controllato dall'autore dell'attacco, ad esempio una pagina di accesso). Le forme più note di questo tipo di truffa di phishing in HTML hanno spesso l'aspetto di una finestra pop-up di Microsoft. La finestra chiede all'utente una sorta di credenziale/login personale che gli consentirà di scaricare il file HTML allegato ricevuto nell'e-mail dell'hacker. Una volta inseriti, i dati dell'utente vengono inviati all'hacker che potrà sfruttarli per ulteriori exploit, quali furto d'identità, frode finanziaria ed estorsione tramite ransomware.
Che cos'è lo smuggling HTML?
Tramite lo smuggling HTML, noto come forma più tecnica di attacco malware con allegato HTML, un cybercriminale utilizza codice HTML 5 e JavaScript per introdurre di nascosto codice dannoso nel computer della vittima tramite uno script creato ad hoc, incorporato nell'allegato HTML stesso. Quando la vittima dell'attacco apre l'allegato HTML dannoso nel proprio browser Web, lo script incorporato viene decodificato e, di conseguenza, il payload viene assemblato sul dispositivo della vittima. In questo modo, l'hacker può creare il malware in locale, all'interno del firewall della vittima.
Questo tipo di attacco sfrutta il fatto che entrambi i codici HTML e JavaScript sono tra i componenti più comuni e importanti della tecnologia informatica affidabile che utilizziamo ogni giorno (in un contesto aziendale e in ambito personale). Di conseguenza, questa tecnica può aggirare gli strumenti software di controllo della sicurezza standard, come i proxy Web e i gateway e-mail, che verificano soltanto le firme basate sul traffico o i tipi di allegati convenzionalmente sospetti come i file in formato EXE, ZIP o DOCX. Poiché i file dannosi vengono creati dopo il caricamento del file tramite il browser sul computer della vittima, le soluzioni di sicurezza standard registreranno soltanto traffico HTML e JavaScript non dannoso. Inoltre, le tecniche più sofisticate adottate dai cybercriminali, come l'offuscamento, consentono agli hacker di nascondere in modo efficace i propri script dannosi da software di sicurezza più avanzato.
Lo smuggling HTML agisce sfruttando l'attributo "download" per i tag di ancoraggio e l'uso di blob JavaScript per l'assemblaggio del payload sul dispositivo della vittima. Dopo che la vittima ha fatto clic sull'attributo "download", un file HTML può scaricare automaticamente un file dannoso definito come riferimento nel tag "href". Con l'uso di JavaScript avviene un processo simile: i blob JavaScript memorizzano i dati codificati del file dannoso, che sono poi decodificati quando vengono passati a un'API JavaScript che si aspetta un URL. Ciò significa che il file dannoso viene scaricato automaticamente e creato in locale sul dispositivo della vittima utilizzando codice JavaScript.
Altri tipi di allegati e-mail dannosi
Sebbene gli allegati HTML siano tra i tipi di allegati più utilizzati per introdurre di nascosto malware nel sistema di un utente, è importante conoscere altri tipi di file comuni che potrebbero essere altrettanto pericolosi:
File EXE
Come già accennato, i file EXE, o file eseguibili su sistema operativo Windows, sono un vettore di minacce popolare (e ben noto) che è bene tenere d'occhio. Se noti uno di questi file in un'e-mail, indipendentemente dall'affidabilità del mittente, evita di scaricarlo e di attivarlo.
File ISO
I file ISO sono in genere utilizzati per archiviare e scambiare una copia dell'intero contenuto del disco rigido del computer e per distribuire sistemi come Windows o Apple. Considerato che adesso Windows può montare i file ISO senza software aggiuntivo, questo tipo di allegato malware ha guadagnato terreno negli ultimi anni. Se ricevi un file di questo tipo tramite un account e-mail personale o professionale e non hai richiesto un intero sistema o non stai partizionando il computer per eseguire più sistemi operativi, tieni presente che non c'è motivo di averne uno. Pertanto, nella maggior parte dei casi, non scaricare il file ed eliminalo dalla tua casella di posta, poiché si tratta quasi certamente di malware.
File di Microsoft Office
Poiché i file di Microsoft Office (ad esempio, con estensione DOCX, XLSX o PPTX) sono onnipresenti come formati aziendali standard in tutto il mondo, offrono il veicolo ideale per distribuire qualsiasi tipo di malware ad aziende inconsapevoli. Sono anche tra i più difficili da contrastare e di solito si presentano sotto forma di fattura urgente o sollecito di pagamento, inducendo la vittima ad aprirli.
Come proteggersi da attacchi con allegati HTML dannosi
Fortunatamente, è possibile adottare una serie di misure per mitigare la minaccia rappresentata dagli allegati HTML dannosi e difendersi.
Un sistema di scansione e protezione dell'e-mail
Un sistema dedicato di scansione e protezione dell'e-mail è la prima linea di difesa contro gli allegati e-mail dannosi e gli script incorporati. Tuttavia, come notato in precedenza, i sistemi di sicurezza standard non sono sufficienti per controllare la minaccia in continua evoluzione rappresentata dai cybercriminali di questi tempi. Oggi gli specialisti di sicurezza informatica consigliano una soluzione anti-virus che includa tecnologie di machine learning e analisi statica del codice, per valutare il contenuto effettivo di un'e-mail e non solo il relativo file allegato. Per una soluzione avanzata per la sicurezza informatica online, consigliamo Kaspersky Premium, il nostro pluripremiato sistema per uso aziendale e personale, che include assistenza remota e supporto 24 ore su 24, 7 giorni su 7.
Controllo degli accessi rigoroso
Anche se si verifica una violazione di dati o una perdita di credenziali, la limitazione dell'accesso utente al personale essenziale è un ottimo modo per ridurre i danni che un cybercriminale può concretamente infliggere. È inoltre opportuno assicurarsi che gli utenti dotati di accesso ai sistemi vitali utilizzino l'autenticazione a più fattori (talvolta indicata come MFA, verifica a due fattori o 2FA) in modo da ridurre ulteriormente l'esposizione aggiungendo un ulteriore livello alla strategia adottata per la sicurezza informatica. Un'altra soluzione efficace per proteggere le risorse vitali dagli errori di accesso dei dipendenti (soprattutto se lavorano da remoto) consiste nell'utilizzo di una rete privata virtuale o VPN. La VPN di Kaspersky consente agli utenti di connettersi in remoto ai server dell'azienda tramite un tunnel digitale criptato, in grado di proteggere il loro sistema dai potenziali pericoli della rete Wi-Fi pubblica e delle connessioni Internet non protette, ovunque si trovino nel mondo.
Formazione e best practice per la sicurezza informatica
Uno dei modi più semplici per tenere al sicuro le risorse preziose da un attacco con allegati HTML è quello di formare il personale (o acquisire competenze in prima persona) sulle best practice per la sicurezza informatica e sulle strategie per identificare e-mail, file e allegati sospetti. Tra le precauzioni da adottare in tal senso, è opportuno evitare di condividere password o credenziali di accesso aziendali con i colleghi e di utilizzare più volte una stessa password per strumenti software o account diversi (a tal fine, è utile un gestore password o un archivio credenziali, che cripta le password e le inserisce automaticamente quando necessario), oltre a scegliere sempre password o passphrase complesse (lunghe 10-12 caratteri e contenenti una combinazione di caratteri speciali, numeri, lettere maiuscole e minuscole).
Domande frequenti sugli allegati HTML
Che cosa sono gli allegati HTML?
Gli allegati HTML sono file associati ai messaggi e-mail e codificati in linguaggio HTML (Hypertext Markup Language). Negli ultimi anni, gli allegati HTML dannosi (contenenti malware incorporato o collegamenti in JavaScript a siti Web di phishing) sono diventati vettori popolari per i cybercriminali che tentano di aggirare i firewall e i sistemi di protezione delle e-mail.
I file HTML possono contenere virus?
Sì, i file HTML possono contenere virus e altre forme di malware, inclusi ransomware e truffe di phishing. Questo tipo di cyberattacco è noto come allegato HTML dannoso o attacco di smuggling HTML. Consiste nell'utilizzo di collegamenti JavaScript a finestre di accesso false o a malware incorporato per sfruttare le credenziali e i file personali di un utente.
I file HTML possono essere dannosi?
Sì, i file HTML (compresi gli allegati alle e-mail) possono essere molto pericolosi per il sistema. Negli ultimi anni, gli esperti di sicurezza informatica hanno registrato un aumento dei cyberattacchi sofisticati che utilizzano allegati HTML dannosi per sottrarre dati personali. Questo tipo di attacco viene spesso definito come smuggling HMTL.
Che cos'è lo smuggling HTML?
Lo smuggling HTML è una forma sempre più diffusa di cyberattacco che sfrutta il linguaggio HTML (di solito HTML 5) e JavaScript per introdurre di nascosto varie forme di malware nel sistema di un utente. In questo modo, l'hacker riesce a eludere i tradizionali protocolli di protezione delle e-mail e a creare malware in locale all'interno del firewall della vittima.
Articoli correlati:
- Come proteggere i dati online utilizzando un gestore delle password
- Cos'è il ransomware?
- Cosa sono le spam e le truffe di phishing?
- Cosa sono i cavalli di Troia e quali tipi di trojan esistono?
Prodotti consigliati: