Kaspersky 31 May 2022

Lampiran HTML Dalam Email Phishing

htmldalamemailphising1

Penggunaan dokumen HTML yang disematkan dalam email phishing adalah teknik standar yang digunakan oleh penjahat dunia maya. Di mana cara kerjanya adalah menghilangkan kebutuhan untuk meletakkan tautan di badan email, yang biasanya dideteksi oleh mesin antispam dan antivirus email dengan mudah. HTML menawarkan lebih banyak kemungkinan daripada email untuk menyamarkan konten phishing.

 

Ada dua jenis utama lampiran HTML yang digunakan penjahat dunia maya: file HTML dengan tautan ke situs web palsu atau halaman phishing lengkap. Dalam kasus pertama, penyerang tidak hanya dapat menyembunyikan tautan dalam file, tetapi juga secara otomatis mengarahkan pengguna ke situs penipuan ketika mereka membuka file ini. Jenis lampiran HTML kedua memungkinkan untuk melewati pembuatan situs web sama sekali dan menghemat biaya hosting: formulir phishing dan skrip yang mengumpulkan data disematkan langsung di lampiran. Selain itu, file HTML, seperti email, dapat dimodifikasi sesuai dengan vektor serangan dan korban yang dituju, memungkinkan konten phishing yang lebih dipersonalisasi.


htmldalamemailphising2

Contoh email phising dengan lampiran HTML.

 

Struktur Lampiran HTML Phishing

Elemen phishing dalam lampiran HTML biasanya diimplementasikan menggunakan JavaScript, yang menangani pengalihan pengguna ke situs phishing atau mengumpulkan dan mengirim kredensial ke scammers.

htmldalamemailphising3

htmldalamemailphising4

Halaman HTML phishing dan kode sumbernya.



Biasanya, halaman HTML mengirimkan data ke URL berbahaya yang ditentukan dalam skrip. Beberapa lampiran seluruhnya (atau sebagian besar) dari skrip JS.

Dalam kode sumber email, lampiran HTML terlihat seperti teks biasa, biasanya dikodekan Base64.

htmldalamemailphising5

Lampiran HTML dalam kode sumber email.

Jika file berisi skrip atau tautan berbahaya dalam teks biasa, perangkat lunak keamanan dapat dengan cepat menguraikan dan memblokirnya. Untuk menghindari hal ini, penjahat dunia maya menggunakan berbagai trik.

 

JavaScript Obfuscator

Kebingungan JavaScript (JavaScript Obfuscator) adalah salah satu teknik paling umum yang digunakan untuk menyamarkan lampiran HTML. Untuk mencegah URL dalam file agar tidak cepat terlihat dan diblokir, phisher mengaburkan tautan phishing itu sendiri atau seluruh skrip, dan terkadang seluruh file HTML. Dalam beberapa kasus, penjahat dunia maya mengaburkan kode secara manual, tetapi seringkali mereka menggunakan alat yang sudah jadi, yang banyak tersedia secara bebas, seperti JavaScript Obfuscator.

 

Misalnya, membuka lampiran HTML di email phishing yang diduga berasal dari Bank X (lihat Gambar 1) di editor teks, kita melihat beberapa kode JS yang cukup membingungkan, yang tampaknya tidak mengisyaratkan membuka tautan atau pun tindakan lain yang berarti.

htmldalamemailphising6

Contoh Obfuscator dalam lampiran HTML.

 

Namun, itu sebenarnya adalah skrip yang dikaburkan yang mengarahkan pengguna ke situs phishing. Untuk menyamarkan tautan phishing, penyerang menggunakan alat yang sudah jadi, yang memungkinkan Kaspersky untuk dengan mudah menghapus penyamaran skrip.

 

htmldalamemailphising7

Skrip yang dideobfuscate dari lampiran dalam email yang tampaknya berasal dari Bank X: tautan untuk mengarahkan ulang pengguna.

 

Jika skrip, tautan, atau halaman HTML dikaburkan secara manual, akan jauh lebih sulit untuk mengembalikan kode aslinya. Untuk mendeteksi konten phishing dalam file seperti itu, analisis dinamis mungkin diperlukan, yang melibatkan menjalankan dan men-debug kode.

 

Encoding

Terkadang penyerang menggunakan metode yang lebih menarik. Dalam satu email phishing, misalnya, ditemukannya lampiran HTML yang tidak biasa. Seperti pada contoh di atas, itu berisi JavaScript. Karena kodenya sangat ringkas, orang mungkin mengira kode tersebut melakukan hal yang sama dengan kode di email palsu Bank X — yaitu, mengarahkan pengguna ke situs phishing. Tetapi setelah menjalankannya, ditemukanlah halaman phishing lengkap yang dikodekan dalam skrip kecil ini.

 

htmldalamemailphising8

File HTML menggunakan metode unescape() — kode sumber file hanya berisi lima baris, salah satunya kosong.

 

htmldalamemailphising9

Halaman phishing di lampiran HTML

 

Penjahat dunia maya menggunakan trik menarik yang melibatkan metode JS usang unescape(). Metode ini mengganti urutan karakter "%xx" dengan setara ASCII mereka dalam string yang diteruskan ke sana. Menjalankan skrip dan melihat kode sumber dari halaman yang dihasilkan, kita melihat HTML biasa.

 

htmldalamemailphising10

File HTML yang dihasilkan.

 

 

Alih-alih unescape(), JavaScript sekarang menggunakan metode decodeURI() dan decodeURIComponent(), namun sebagian besar browser modern masih mendukung unescape(). Kami tidak dapat mengatakan dengan pasti mengapa penyerang memilih metode yang tidak digunakan lagi, tetapi bisa jadi karena metode modern lebih cenderung ditafsirkan dan dideteksi oleh mesin antispam.

 

Statistik

Dalam empat bulan pertama tahun 2022, solusi keamanan Kaspersky mendeteksi hampir 2 juta email yang berisi lampiran HTML berbahaya. Hampir setengah dari mereka (851.328) terdeteksi dan diblokir pada bulan Maret. Januari adalah bulan paling tenang, dengan solusi antispam mendeteksi 299.859 email dengan lampiran HTML phishing.

 

htmldalamemailphising11

 

Kesimpulan

Phisher menyebarkan berbagai trik untuk melewati pemblokiran email dan memikat sebanyak mungkin pengguna ke situs penipuan mereka. Teknik umum adalah lampiran HTML dengan kode yang sebagian atau seluruhnya dikaburkan. File HTML memungkinkan penyerang menggunakan skrip, mengaburkan konten berbahaya agar lebih sulit dideteksi, dan mengirim halaman phishing sebagai lampiran, bukan tautan.

 

Solusi keamanan Kaspersky mendeteksi lampiran HTML yang berisi skrip terlepas dari apapun Obfuscatornya.

 

 

Informasi lengkap, silahkan hubungi:
contact@mii.co.id, customer.experience@mii.co.id

 

 

 

Recent Article

htmldalamemailphising1
31 May 2022

Lampiran HTML Dalam Email Phishing

Penggunaan dokumen HTML yang disematkan dalam email phishing adalah teknik standar yang digunakan oleh penjahat dunia maya. Solusi keamanan Kaspersky mendeteksi lampiran HTML yang berisi skrip terlepas dari apapun Obfuscatornya.

Read More