Исследователи безопасности компании Menlo Security рассказали о новой вредоносной кампании, в ходе которой злоумышленники используют техники HTML smuggling и BLOB-объекты для загрузки вредоносного ПО в обход решений безопасности.

В ходе кампании, получившей название Duri, используется метод BLOB-объектов JavaScript, генерирующий вредоносные файлы в браузере, что позволяет избегать обнаружения песочницами и прокси.

"Работа традиционных сетевых решений безопасности наподобие межсетевых экранов, прокси-серверов и песочниц основывается на передаче объектов по проводам. К примеру, песочница может извлекать передаваемые по проводам файловые объекты, такие как .exe, .zip и другие подозрительные объекты, и отправлять на обезвреживание", - пишут исследователи.

Однако в ходе Duri киберпреступники используют технику под названием HTML smuggling, представляющую собой комбинацию JavaScript, HTML5 и data: URL. Техника позволяет генерировать полезную нагрузку "на лету" и загружать файлы непосредственно из браузера. Другими словами, вся полезная нагрузка собирается на стороне клиента (браузера), поэтому никакие объекты не отправляются в песочницу для проверки.

Когда пользователь нажимает на предоставленную злоумышленником ссылку, через многочисленные переадресации он оказывается на HTML-странице на duckdns.org. Эта страница запускает JavaScript-код для генерирования BLOB-объекта из закодированной с помощью base64 переменной, содержащейся внутри скрипта.

ZIP-файл генерируется из одного только JavaScript-кода. В конце выполнения скрипт запускает загрузку архива в браузере. В ZIP-архиве содержится полезная нагрузка - MSI-файл.

https://www.securitylab.ru/news/511320.php