El envío de emails es una de las principales amenazas a las que se enfrentan las compañías en su día a día. En este sentido, los investigadores de Barracuda Networks han analizado recientemente los datos de los millones de archivos adjuntos analizados por sus sistemas durante el mes pasado para identificar aquellos que tienen más probabilidades de ser maliciosos.
Una investigación que muestra que, en comparación con otros tipos de archivos adjuntos, los archivos adjuntos HTML son los más utilizados para fines ‘maliciosos’. De hecho, el 21% de todos los archivos adjuntos HTML analizados representaban una amenaza.
Los archivos adjuntos de esta tipología son particularmente comunes en los informes de correo electrónico generados por el sistema y que los usuarios pueden recibir regularmente donde se incluyen enlaces URL al informe real.
De esta forma, el ataque es simple. Los hackers incrustan archivos adjuntos HTML en correos electrónicos disfrazados de informes semanales, engañando a los usuarios para que hagan clic en los enlaces de phishing. Estas técnicas tienen éxito porque los hackers ya no necesitan incluir enlaces maliciosos en el cuerpo de un correo electrónico, lo que les permite eludir las políticas antispam y antivirus con facilidad.
Un ataque que los ciberdelincuentes ejecutan de diferentes maneras, como, por ejemplo, el phishing de credenciales. Los archivos adjuntos HTML maliciosos incluyen un enlace a un sitio de phishing. Cuando se abre, utiliza un Java script para redirigir a una máquina de terceros y solicitar que los usuarios introduzcan sus credenciales para acceder a información o descargar un archivo que puede contener malware. Sin embargo, los hackers no siempre necesitan crear un sitio web falso. Pueden crear un formulario de phishing directamente incrustado en el archivo adjunto, enviando en última instancia sitios de phishing como archivos adjuntos en lugar de enlaces. Estos ataques son difíciles de detectar porque los archivos adjuntos HTML en sí mismos no son maliciosos.
Los atacantes no incluyen el malware en el propio archivo adjunto, sino que utilizan múltiples redireccionamientos con bibliotecas de Java script alojadas en otro lugar.
