Peneliti Microsoft menemukan adanya “penyelundupan HTML” (HTML smuggling) untuk menyebarkan perangkat lunak jahat (malware).
Pada 11 November lalu, peneliti Microsoft 365 Defender Threat Inteligence Team mengunggah laporan terbarunya terkait teknik pengiriman malware yang memanfaatkan fitur HTML5 dan JavaScript sah itu.
Penjahat siber melalui email phishing berupaya menyebarkan trojan perbankan “Mekotio” dan AsyncRAT/NJRAT serta Trickbot—malware yang biasa dipakai untuk mengirimkan ransomware dan ancaman lain.
Teknik “penyelundupan HTML”, menurut peneliti Microsoft, memang kian banyak dipakai penjahat siber dalam operasi penyebaran malware, trojan akses jarak jauh (RAT), dan muatan lain. Kasus sebelumnya terdeteksi dalam operasi spear-phishing yang dilakukan geng peretas Nobelium pada Mei lalu.
Baca Juga : Aplikasi Berikut Berisi Malware Joker, Segera Hapus!!!
“Seperti namanya, teknik tersebut memungkinkan penyerang ‘menyelundupkan’ skrip berbahaya yang dikodekan dalam lampiran HTML atau halaman web yang dibuat khusus,” tulis Microsoft di blog perusahaan.
“Ketika pengguna target membuka HTML di peramban web mereka, peramban memecahkan kode skrip berbahaya, yang akhirnya mengumpulkan muatan pada perangkat host. Jadi, alih-alih memiliki executable pass berbahaya secara langsung melalui jaringan, penyerang membangun malware secara lokal di belakang firewall,” Microsoft menjelaskan.
Menurut Microsoft, teknik “penyelundupan HTML” benar-benar jago melewati kontrol keamanan perimeter standar, seperti proxy web dan gateway email.
“HTML dimuat di titik akhir melalui browser. Yang hanya dilihat oleh beberapa alat keamanan di awal ialah lalu lintas HTML dan JavaScript jinak yang disamarkan,” tutur Microsoft.
“Penyelundupan HTML”, kata peneliti, menggunakan fitur HTML5 dan JavaScript yang sah, yang keduanya didukung oleh semua browser modern, lalu memproduksi file berbahaya di balik firewall.
Secara khusus, “penyelundupan HTML” memanfaatkan atribut “unduh” HTML5 untuk anchor tag, serta pembuatan dan penggunaan JavaScript Blob untuk mengumpulkan muatan yang diunduh ke perangkat yang terpengaruh.
Baca Juga : Email Milik FBI Diretas Sekelompok Hacker
Di HTML5, ketika pengguna mengklik tautan, atribut “unduh” memungkinkan file HTML secara otomatis mengunduh file yang dirujuk dalam tag “href”. Misalnya, kode di bawah ini menginstruksikan browser untuk mengunduh “malicious.docx” dari lokasinya dan menyimpannya ke dalam perangkat sebagai “safe.docx”:
Raksasa teknologi itu mengatakan telah mengamati “penyelundupan HTML” yang digunakan dalam serangan terhadap pengguna perbankan di Brasil, Meksiko, Spanyol, Peru, dan Portugal—target diserang dengan malware “Mekotio” dan “Ousaban”.
“Menonaktifkan JavaScript dapat mencegah serangan semacam itu, tetapi opsi itu mungkin tidak dapat dijalankan dalam lingkungan perusahaan, di mana halaman terkait bisnis dan sumber daya sah lainnya bergantung pada JavaScript. Dengan demikian, pendekatan pertahanan berlapis-lapis sangat direkomendasikan,” tutur Microsoft.
