مايكروسوفت تحذر من تقنية نشر حصان طروادة التي لا يمكن اكتشافها

تمت الكتابة من قبل Guillaume

تاريخ النشر: {{ dayjs(1636995605*1000).local().format("L").toString()}}

هذه المقالة هي ترجمة تلقائية

يكتسب تهريب HTML "متابعين" جدد كل يوم بسبب صعوبة هزيمته.

ليس بالمعنى الدقيق للكلمة "جديدا" ، تتكون تقنية تهريب HTML من إرسال ملف HTML كمرفق ببريد إلكتروني أو إعداد رابط بسيط داخل الرسالة. لم يعد الأمر يتعلق بملف "تم فحصه" مباشرة في البريد الإلكتروني. في الواقع ، من الممكن تجاوز برامج الأمان مثل Windows Defender التي عادة ما تعتني بتمشيط المرفقات ، ولكنها لا تحظر ملف HTML بسيط في حد ذاته غير ضار.

المشكلة ، إذا كانت هذه الخطوة الأولى آمنة تماما ، فعندئذ يحدث الهجوم. في الواقع ، يمكن أن تدخل الميزة حيز التنفيذ وتسبب الكثير من الضرر بطريقة تكاد تكون غير مرئية للعديد من المستخدمين. يطلق عليه Blobs JavaScript ، ويسمح لك بتنزيل جميع العناصر المكونة للبرامج الضارة. إذا تم أخذها "واحدة تلو الأخرى" ، فهي آمنة على ما يبدو ، ولكن جافا سكريبت Blobs قادرة بعد ذلك على تجميعها لينتهي بها الأمر بالبرامج الضارة نفسها التي تكون في مكانها الصحيح والحقيقي على الجهاز ، وهي مصابة الآن.

تقنية تهريب HTML التي توضحها Microsoft

يقوم تهريب HTML ببناء أجزاء قطعة تلو الأخرى من البرامج الضارة إلى الأنف واللحية لجميع أدوات الأمان الأكثر استخداما. تستشهد Microsoft بمثال البرامج الضارة Trickbot التي أصدرتها مجموعة تسمى DEV-0193 من قبل الناشر. في سبتمبر الماضي ، أرسلت المجموعة رسائل بريد إلكتروني مختلفة من أجل تنفيذ البرامج الضارة في مجلد "التنزيلات" للأجهزة المستهدفة. في حين أن الاستراتيجيات الموضوعة يمكن أن تحبط بالفعل برامج الأمان ، إلا أنها لا تزال تستند إلى سذاجة المستخدمين.

في هذه الحالة ، توضح Microsoft أن تعطيل جافا سكريبت تماما لا يكفي للقضاء على التهديد. من ناحية أخرى ، من الضروري مرة أخرى إيلاء اهتمام وثيق للمستندات التي تتلقاها عبر البريد الإلكتروني: يمكن تكرار الاحتياطات المعتادة مثل عدم فتح المرفقات - بغض النظر عن تنسيق الملف - إذا كنت لا تعرف المرسل. بالإضافة إلى ذلك ، حتى في حالة اعتقاد المرء أنك تعرف المرسل ، فمن المستحسن عدم فتح الملفات .js بالطبع ، ولكن أيضا .htm / .html ما لم تكن تعرف صراحة سبب إرسالها إليك.