El contrabando HTML es un truco ingenioso que los atacantes utilizan para introducir malware eludiendo las defensas de seguridad, ocultando cargas maliciosas dentro de archivos HTML o páginas web aparentemente inofensivos. En lugar de enviar archivos ejecutables directamente -lo cual la mayoría de los gateways de correo electrónico y proxies bloquearían- los atacantes incrustan malware codificado (a menudo usando Base64 u otra codificación similar) dentro de HTML o JavaScript. Cuando un usuario abre el archivo adjunto o visita un sitio comprometido, su navegador decodifica y reconstruye silenciosamente el malware en el endpoint, eludiendo por completo la detección y el registro basados en la red.
Las técnicas clave incluyen
Usar Blobs de JavaScript y el atributo de descarga de HTML5 para ensamblar y activar descargas de archivos maliciosos localmente. Ofuscar las cargas útiles con funciones de codificación y decodificación como atob() o String.fromCharCode() para evadir los motores de inspección.
Entregar el HTML inicial a través de correos electrónicos de phishing, descargas involuntarias o ataques de watering hole, a menudo disfrazados como facturas o comunicaciones de marcas confiables.
Construir el archivo ejecutable final o archivo comprimido (como .zip o .iso) en el dispositivo de la víctima, lo que incluso puede eludir funciones de seguridad de Windows como Mark of the Web.
El sigilo de este método radica en su uso de tecnologías web cotidianas, haciendo que el contenido malicioso sea invisible para la mayoría de las herramientas de seguridad tradicionales hasta que ya es demasiado tarde.
Robo de credenciales mediante páginas de inicio de sesión falsas
Los atacantes suelen utilizar archivos adjuntos HTML y enlaces como armas para atraer a los usuarios e inducirlos a ingresar sus credenciales en páginas de inicio de sesión falsas que imitan marcas de confianza. Estas páginas fraudulentas a menudo rellenan previamente la dirección de correo electrónico de la víctima y son visualmente indistinguibles de las pantallas legítimas de inicio de sesión, engañando incluso a los usuarios más atentos para que entreguen información sensible. Una vez enviadas, las credenciales se transmiten directamente a los ciberdelincuentes -a veces mediante APIs o- lo que permite la rápida vulneración de cuentas y ataques adicionales
Tácticas clave
• Utilizar correos electrónicos de phishing urgentes o personalizados para atraer a las víctimas a abrir archivos adjuntos o hacer clic en enlaces.
• Alojar formularios de inicio de sesión falsos en dominios o servicios reputados, a veces aprovechando herramientas como Cloudflare Workers para capturar no solo contraseñas, sino también códigos de autenticación multifactor y tokens de sesión.
• Emplear ofuscación, cadenas de redirección y URLs con apariencia legítima para evadir la detección y aumentar la credibilidad
Ofuscación de JavaScript en archivos adjuntos
La ofuscación es la navaja suiza del atacante para ocultar JavaScript malicioso dentro de archivos adjuntos HTML. En lugar de código legible, encontrarás un enredo de trucos de codificación: cadenas Base64 decodificadas con atob(), códigos de caracteres desentrañados por String.fromCharCode(), e incluso capas anidadas de funciones de decodificación que solo revelan sus secretos al ejecutarse en un navegador.
Los atacantes frecuentemente dividen URLs o cargas útiles en campos de entrada ocultos, las concatenan con JavaScript y utilizan múltiples rondas de decodificación para enturbiar aún más las aguas.
Colabora Guillermo David Subreski Román
