{"id":3372,"date":"2021-11-15T15:40:58","date_gmt":"2021-11-15T15:40:58","guid":{"rendered":"https:\/\/fortgale.com\/news\/?p=3372"},"modified":"2023-09-16T11:00:46","modified_gmt":"2023-09-16T11:00:46","slug":"attacco-html-smuggling-tecnica-sempre-piu-diffusa","status":"publish","type":"post","link":"https:\/\/fortgale.com\/blog\/uncategorized-it\/attacco-html-smuggling-tecnica-sempre-piu-diffusa\/","title":{"rendered":"Attacco HTML Smuggling: tecnica sempre pi\u00f9 diffusa"},"content":{"rendered":"\n

Negli ultimi mesi sono state identificate diverse campagne e-mail di tipo Phishing <\/strong><\/em>contenenti file HTML<\/strong><\/em> malevoli (report<\/a>). <\/em>I file allegati contengono del codice JavaScript<\/strong> <\/em>che sfrutta funzionalit\u00e0 di HTML5 per il download automatico di malware.<\/p>\n\n\n\n

L’attacco \u00e8 stato denominato HTML Smuggling<\/strong>.<\/p>\n\n\n\n

Fasi dell’Attacco HTML Smuggling<\/h2>\n\n\n\n
\"\"
Le fasi dell’attacco HTML Smuggling – Fonte: Microsoft<\/a><\/figcaption><\/figure>\n\n\n\n

L’attacco consiste in una serie di passaggi automatizzati che permettono il download automatico di un Blob JavaScript<\/strong> <\/em>a seguito del completo caricamento della pagina. All’interno del codice HTML viene inserito un link (via codice o attraverso il tag <a>) al quale viene associata la propriet\u00e0 download<\/strong><\/em>,<\/span> che permette di salvare un file sul disco, impedendone l’apertura diretta da parte del browser. Di seguito un esempio in HTML di link con propriet\u00e0 download<\/strong><\/em>.<\/em><\/p>\n\n\n\n

<a href=\"\/archivio\/malevolo.zip\" download=\"malware.zip\">Clicca qui<\/a><\/pre>\n\n\n\n
All’interno dello stesso file\/sito \u00e8 presente del codice JavaScript il cui compito \u00e8 quello di assemblare il file malevolo e scaricarlo automaticamente. Il file viene costruito tramite un Blob<\/strong><\/em> e associato al link, tutto attraverso lo stesso codice.<\/em><\/p>\n\n\n\n
var anchorLink = document.createElement('a');\nanchorLink.download = 'malicious_file.zip';\nvar blob = new Blob([malicious_data], {type: 'octet\/stream'});\nvar url = window.URL.createObjectUrl(blob);\nanchorLink.href = url;\nanchorLink.download();<\/pre>\n\n\n\n
Nelle campagne Malware, il contenuto malevolo viene solitamente scaricato sotto forma di archivio protetto da password. Questo permette di eludere i sistemi di scansione automatizzata che analizzano il contenuto degli archivi scaricati.<\/p>\n\n\n\n
L’apertura del contenuto del file .zip da parte dell’utente avvia una serie di comandi (solitamente script PowerShell o VisualBasic) per il download ed esecuzione del malware (ultimo stage).<\/p>\n\n\n\n
Fra questi anche il noto malware TrickBot<\/strong>, che ha colpito diverse realt\u00e0 italiane.<\/p>\n","protected":false},"excerpt":{"rendered":"
Negli ultimi mesi sono state identificate diverse campagne e-mail di tipo Phishing contenenti file HTML malevoli (report). I file allegati contengono del codice JavaScript che sfrutta funzionalit\u00e0 di HTML5 per il download automatico di malware. L’attacco \u00e8 stato denominato HTML Smuggling. Fasi dell’Attacco HTML Smuggling L’attacco consiste in una serie di passaggi automatizzati che permettono il download […]<\/p>\n","protected":false},"author":1,"featured_media":3377,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[954],"tags":[1587,1589,1591,1439,1593,1441],"class_list":["post-3372","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized-it","tag-html-smuggling-it","tag-html5-it","tag-javascript-it","tag-malware-it","tag-malware-zip-it","tag-phishing-it"],"_links":{"self":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/3372","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/comments?post=3372"}],"version-history":[{"count":2,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/3372\/revisions"}],"predecessor-version":[{"id":6011,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/3372\/revisions\/6011"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/media\/3377"}],"wp:attachment":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/media?parent=3372"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/categories?post=3372"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/tags?post=3372"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}