Blog

Correos electrónicos de phishing con archivos adjuntos en formato HTML

Correos electrónicos de phishing con archivos adjuntos en formato HTML

El uso de documentos HTML incrustados en correos electrónicos de phishing elimina la necesidad de poner enlaces en el cuerpo de los mensajes, que los motores antispam y los antivirus suelen detectar con facilidad. HTML no es malicioso, y los productos de seguridad no suelen sospechar de los archivos adjuntos que vienen en este formato

Ese es el motivo por el cual aterrizan sin problemas en las bandejas de entrada de los usuarios.

Por lo tanto, HTML ofrece muchas más posibilidades para camuflar archivos maliciosos codificados en JavaScript, que otros formatos.

Los ciberdelincuentes utilizan dos tipos principales de archivos HTML adjuntos:

  1. Archivos HTML con un enlace a un sitio web falso.
  2. Archivos HTML que abren una página de phishing completa.

En el primer caso, los atacantes no solo pueden ocultar un enlace en el archivo, sino también redirigir automáticamente al usuario al sitio fraudulento cuando lo abren.

El segundo tipo de archivo adjunto HTML permite omitir la creación de un sitio web falsificado y ahorrar en costes de alojamiento.

El formulario de phishing y el script que recopilará los datos se incrustan directamente en el archivo adjunto al correo electrónico.

Además, un archivo HTML, se puede modificar en función de la víctima, lo que permite crear un contenido más personalizado.

Estructura de los archivos adjuntos HTML de phishing

Los elementos de phishing en los archivos HTML generalmente se implementan mediante JavaScript, que se encarga de redirigir al usuario a un sitio de phishing o recopilar y enviar credenciales a los estafadores.

Pero si un archivo contiene scripts maliciosos o enlaces en texto sin formato, el software de seguridad puede analizarlo y bloquearlo rápidamente.

Para evitarlo, los ciberdelincuentes recurren a varios trucos.

Ofuscación de JavaScript

La ofuscación de JavaScript es una de las técnicas más comunes que se utilizan para disfrazar archivos adjuntos en formato HTML.

Para evitar que la URL del archivo se detecte y bloquee rápidamente, los villanos ofuscan el enlace de phishing, la secuencia de comandos completa y, a veces, todo el archivo HTML.

Los ciberdelincuentes más veteranos acostumbran a ofuscar el código manualmente, pero también pueden usar herramientas como JavaScript Obfuscator Tool.

JavaScript Obfuscator Tool

Esta utilidad gratuita realiza una serie de transformaciones, como el cambio de nombre de variable o la eliminación de cadenas.

Transforma el código fuente manipulado en algo ilegible por parte de los programas de seguridad, pero el malware continúa funcionando perfectamente.

Codificación

A veces, los atacantes emplean métodos más interesantes.

En un correo electrónico de phishing podemos encontrar un archivo HTML adjunto, con un enlace que redirigirá al usuario a un sitio web malicioso o falso.

Pero mediante un pequeño script, se pueden enviar páginas de phishing completas como archivos adjuntos, en lugar de solo enlaces.

Conclusión

El simple hecho de abrir estos archivos a menudo es suficiente para que JavaScript se ejecute en tu sistema, lo que puede provocar la inyección automática del malware en tu dispositivo.

Como el software de seguridad no detecta un archivo adjunto HTML como malicioso, es más probable que lo abras y te infectes.

Incluso si tu solución de seguridad de correo electrónico no genera ninguna advertencia, siempre debes tratar los archivos adjuntos en formato HTML como sospechosos.

Avisos de seguridad

Air VPN - The air to breathe the real Internet

Otros artículos

Qué es el clickbait y por qué deberías evitarlo
Consejos de privacidad en TikTok
¿Qué es una herramienta OSINT?
Ransomware:qué es y cómo evitarlo
Los ciberdelincuentes se estafan unos a otros
Protege tu información de identificación personal (PII)
Qué hacer si tu información ha sido filtrada en una violación de datos