El riesgo de los adjuntos HTML en eMails

Al menos 1 de cada 5 archivos HTML adjuntos en correos electrónicos son peligrosos.

El envío de emails es una de las principales amenazas a las que se enfrentan las compañías en su día a día. En este sentido, los investigadores de Barracuda Networks han analizado recientemente los datos de los millones de archivos adjuntos analizados por sus sistemas durante el mes pasado para identificar aquellos que tienen más probabilidades de ser maliciosos.

Una investigación que muestra que, en comparación con otros tipos de archivos adjuntos, los archivos adjuntos HTML son los más utilizados para fines ‘maliciosos’. De hecho, el 21% de todos los archivos adjuntos HTML analizados representaban una amenaza.

Los archivos adjuntos de esta tipología son particularmente comunes en los informes de correo electrónico generados por el sistema y que los usuarios pueden recibir regularmente donde se incluyen enlaces URL al informe real.

De esta forma, el ataque es simple. Los hackers incrustan archivos adjuntos HTML en correos electrónicos disfrazados de informes semanales, engañando a los usuarios para que hagan clic en los enlaces de phishing. Estas técnicas tienen éxito porque los hackers ya no necesitan incluir enlaces maliciosos en el cuerpo de un correo electrónico, lo que les permite eludir las políticas antispam y antivirus con facilidad.

Un ataque que los ciberdelincuentes ejecutan de diferentes maneras, como, por ejemplo, el phishing de credenciales. Los archivos adjuntos HTML maliciosos incluyen un enlace a un sitio de phishing. Cuando se abre, utiliza un Java script para redirigir a una máquina de terceros y solicitar que los usuarios introduzcan sus credenciales para acceder a información o descargar un archivo que puede contener malware. Sin embargo, los hackers no siempre necesitan crear un sitio web falso. Pueden crear un formulario de phishing directamente incrustado en el archivo adjunto, enviando en última instancia sitios de phishing como archivos adjuntos en lugar de enlaces. Estos ataques son difíciles de detectar porque los archivos adjuntos HTML en sí mismos no son maliciosos.

Los atacantes no incluyen el malware en el propio archivo adjunto, sino que utilizan múltiples redireccionamientos con bibliotecas de Java script alojadas en otro lugar.

Cómo protegerse contra los archivos adjuntos HTML maliciosos

Ante este tipo de ataque, los usuarios deben asegurarse de que la protección de su correo electrónico escanea y bloquea los archivos adjuntos HTML maliciosos. Estos pueden ser difíciles de identificar con precisión, y la detección suele incluir un gran número de falsos positivos. Las mejores soluciones incluirán el aprendizaje automático y el análisis de código estático que evalúan el contenido de un correo electrónico y no sólo un archivo adjunto.

Dado el volumen de este tipo de ataques, los usuarios deben desconfiar de todos los archivos adjuntos HTML, especialmente de aquellos que provienen de fuentes que no han visto antes.

No obstante, si el ciberataque a través de un email llega, hay que tener preparadas herramientas de corrección posterior a la entrega para identificar y eliminar rápidamente cualquier instancia de correo electrónico malintencionado de todas las bandejas de entrada de los usuarios. La respuesta automatizada a incidentes puede ayudar a hacer esto rápidamente antes de que los ataques se propaguen por una organización.