根据2022年第一季度的调查,HTML文件仍然是钓鱼攻击中最流行的附件之一。很难说是邮件引擎的问题还是用户的问题。HTML(超文本标记语言)是一种定义Web内容的含义和结构的语言。HTML文件是为在Web浏览器中进行数字查看而设计的交互式内容文档。在网络钓鱼电子邮件中,HTML文件通常用于将用户重定向到恶意站点、下载文件,甚至在浏览器本地显示网络钓鱼表单。由于HTML本身不是恶意的,附件往往不会被电子邮件安全产品检测到,因此可以顺利进入收件人的收件箱。卡巴斯基的统计数据显示,在恶意电子邮件中使用HTML附件的趋势依然强劲,该公司在今年第一季度检测到200万封针对其客户的此类电子邮件。这些数字在2022年3月达到顶峰,当时卡巴斯基的遥测检测到851,000次检测,然后在4月小幅下降至387,000次。HTML如何逃避检测HTML附件中的网络钓鱼表单、重定向机制和数据窃取通常使用各种方法实现,从简单的重定向到混淆的JavaScript以隐藏网络钓鱼表单。电子邮件中的附件采用base64编码,因此恶意URL、脚本等很容易逃避电子邮件网关和杀毒软件的扫描。除此之外,威胁行为者经常在HTML附件中使用JavaScript,这些附件将用于生成恶意网络钓鱼表单或重定向。在HTML附件中使用JavaScript来隐藏恶意URL和行为被称为HTML走私,并且在过去几年中已成为一种非常流行的技术。为了使检测恶意脚本变得更加困难,威胁行为者通过使用接受自定义配置的免费工具对其进行混淆来逃避检测,因此不太可能被检测到。例如,在11月,我们报告称威胁行为者在其HTML附件中使用摩尔斯电码来混淆打开HTML附件时显示的网络钓鱼表单。卡巴斯基指出,在某些情况下,威胁行为者使用的编码方法涉及已弃用的函数,例如“unes??cape()”,它将字符串中的“%xx”字符序列替换为其ASCII等效字符序列。尽管今天此函数已被decodeURI()和decodeURIComponent()取代,但大多数现代浏览器仍然支持它。尽管如此,更加关注当前方法的安全工具和反垃圾邮件引擎可能会忽略它。结论HTML附件在2019年首次出现激增,但它们在2022年仍然是网络钓鱼活动中的常见技术,因此不应掉以轻心,因为只需打开这些文件通常就足以在您的系统上获取JavaScript,这可能会导致恶意软件在磁盘上自动组装并绕过安全软件。由于附件未被安全软件检测为恶意附件,因此收件人更有可能打开它们并被感染。即使电子邮件安全解决方案不会生成任何警告,也请始终警惕HTML附件。参考来源:https://www.bleepingcomputer.com/news/security/html-attachments-remain-popular-among-phishing-actors-in-2022/#google_vignette
