Los ataques de phishing han sido prácticamente siempre una de las amenazas más extendidas para poner en peligro los datos y dispositivos de los usuarios, especialmente aquellos que son menos conscientes.
Recientemente, sin embargo, comenzó a extenderse en un uso cada vez mayor del código HTML y JavaScript para entregar malware bancario y troyano tipo RAT en archivos adjuntos de correo electrónico y páginas web. La advertencia fueron los investigadores de Microsoft , destacando también como lo hace el en cuestión. no representan una nueva técnica, sino un sistema que ya se utiliza desde hace algún tiempo y que, sin embargo, está encontrando terreno fértil sólo recientemente.
El phishing se propaga a través de HTML y JavaScript
Para dar un ejemplo práctico, un atacante que pretenda explotar la técnica en cuestión podría crear un adjunto HTML ad hoc para enviarlo por correo electrónico o, incluso, podría incluir código HTML específico directamente en el cuerpo del mensaje, con un enlace a un sitio web.conocido, por lo que teóricamente no es peligroso. Sin embargo, al hacer clic en el enlace, la cadena cifrada se convierte, a través de JavaScript, en un archivo adjunto malicioso que se descarga en el dispositivo de la víctima.
Generalmente, el archivo descargado en el dispositivo de la víctima es un archivo ZIP que contiene un descargador de archivos JavaScript, que recupera los archivos necesarios para completar el ataque desde un servidor remoto. En algunos casos, los archivos en cuestión están protegidos por una contraseña, que sin embargo se proporciona en el archivo HTML adjunto original, por lo que la víctima debe ingresarlo a mano.
Además, teniendo en cuenta que las cadenas iniciales están encriptadas, ningún software de seguridad que se utilice en el dispositivo las detecta como dañinas, por lo que eludiría cualquier comprobación.
Obviamente, la mejor manera de defenderse de todo esto es siempre ser extremadamente cuidadoso y prestar especial atención a lo que se hace clic y se descarga desde computadoras, teléfonos inteligentes y tabletas.