HTML Smuggling: Contrabbando di Malware nelle Pagine Web (T1027.006)

Per comprendere questa tecnica, iniziamo creando un semplice HTML smuggler che nasconde un eseguibile. Il JavaScript utilizza la funzione Blob per ricostruire il file dal payload base64 codificato:

<html>
<body>
<script>
var data = "TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQA..."; // Base64 del payload
var bytes = atob(data);
var ab = new ArrayBuffer(bytes.length);
var ia = new Uint8Array(ab);
for (var i = 0; i < bytes.length; i++) {
    ia[i] = bytes.charCodeAt(i);
}
var blob = new Blob([ab], {type: 'application/octet-stream'});
var fileName = 'payload.exe';

Il meccanismo di download può essere attivato attraverso l'attributo HTML5 download o la funzione msSaveBlob per Internet Explorer. Quest'ultima è particolarmente interessante perché bypassava molti controlli legacy.

Per testare la tecnica con EnvyScout, il malware documentato che utilizza questa metodologia, si può analizzare come estrae il blob codificato dal body HTML e lo scrive su disco. La catena d'attacco tipica prevede l'invio di un'email con allegato HTML che, una volta aperto, rilascia silenziosamente il payload.

QakBot invece viene distribuito in archivi ZIP generati dinamicamente attraverso HTML smuggling. Il JavaScript crea l'archivio in memoria e lo presenta all'utente come download legittimo dal browser.

Un esempio avanzato utilizzato da APT29 prevede l'embedding di un file ISO all'interno dell'attachment HTML. Il JavaScript non solo estrae l'ISO ma può anche montarlo automaticamente su sistemi Windows moderni, creando una catena d'infezione particolarmente subdola.

La detection di HTML smuggling richiede un approccio comportamentale che monitora la sequenza di eventi piuttosto che singoli indicatori. Su Windows, Sysmon EventID 15 fornisce visibilità cruciale sui file creati dal browser.

Un indicatore chiave è il Zone.Identifier ADS con HostUrl=about:internet, che indica generazione locale del file anziché download tradizionale. La detection strategy DET0313 suggerisce di correlare questa evidenza con l'assenza di download HTTP corrispondenti nei proxy log.

index=windows EventCode=15 
| where match(TargetFilename, "\\.(exe|dll|js|hta|iso)$")
| where HostUrl="about:internet" OR ReferrerUrl="about:blank"
| stats count by ComputerName, Image, TargetFilename

Il monitoraggio deve focalizzarsi sulla finestra temporale tra l'apertura dell'HTML e la creazione del file, tipicamente 1-10 minuti. I processi parent da sorvegliare includono browser e client email come Outlook.

Su Linux, auditd può tracciare le syscall di file creation in directory temporanee o di download. La correlazione con processi browser che generano nuovi file eseguibili entro 5-15 minuti dall'accesso HTML costituisce un pattern sospetto.

Per macOS, l'analisi del quarantine database di Gatekeeper può rivelare file che bypassano i controlli di sicurezza. Le stringhe JavaScript come msSaveBlob, download.href e createObjectURL nei log del browser sono indicatori diretti di possibile smuggling.

L'analisi forense di un incidente HTML smuggling inizia dall'identificazione del vettore iniziale. Su Windows, il Zone.Identifier alternate data stream fornisce informazioni preziose sull'origine del file. Un valore HostUrl=about:internet conferma la generazione locale tramite JavaScript.

La ricostruzione della timeline deve mappare la sequenza: apertura HTML → esecuzione JavaScript → creazione blob → salvataggio file → esecuzione payload. I browser moderni lasciano tracce nel loro cache database che possono contenere frammenti del codice JavaScript utilizzato.

Nel caso di APT29, l'analisi forense ha rivelato ISO file embedded che contenevano non solo il malware ma anche DLL legittime per tecniche di DLL side-loading. L'ISO veniva montato automaticamente, lasciando tracce nel registry di Windows sotto HKLM\SYSTEM\MountedDevices.

Gli artefatti di EnvyScout mostrano un pattern distintivo: il malware scrive prima un file temporaneo con estensione innocua, poi lo rinomina in formato eseguibile. Questa sequenza è visibile nel journal NTFS attraverso l'analisi del $UsnJrnl.

Per QakBot distribuito via HTML smuggling, l'analisi del prefetch di Windows rivela l'esecuzione di processi di decompressione ZIP seguiti immediatamente dal lancio del payload. La correlazione temporale tra questi eventi è fondamentale per confermare la catena d'attacco.

APT29 rappresenta l'unico gruppo documentato che utilizza attivamente HTML smuggling, dimostrando un'evoluzione continua nelle tecniche di evasione. Il gruppo russo ha mostrato particolare creatività nell'embedding di file ISO all'interno di HTML, sfruttando la funzionalità di auto-mount di Windows 10/11.

L'analisi del toolset mostra una convergenza interessante: sia EnvyScout che QakBot utilizzano pattern JavaScript simili per la generazione dei blob. Questo suggerisce possibile condivisione di codice o l'emergere di framework comuni per HTML smuggling nel cybercrime underground.

La distribuzione geografica degli attacchi mostra una concentrazione su target enterprise in Nord America ed Europa, con particolare focus su settori finance e government. La scelta di HTML come vettore riflette la difficoltà delle organizzazioni nel bloccare questo formato senza impattare le operazioni legittime.

L'evoluzione della tecnica suggerisce trend futuri verso l'uso di WebAssembly per offuscare ulteriormente la logica di decodifica. APT29 ha già dimostrato capacità di adattamento rapido, modificando i propri tool in risposta alle detection pubblicate.

Il timing degli attacchi mostra preferenza per campagne durante merger & acquisition o eventi geopolitici significativi, quando le difese potrebbero essere distratte. La persistenza nell'uso di ISO files suggerisce che questa variante continuerà ad evolversi con nuovi meccanismi di auto-esecuzione.

Questa analisi si basa sul framework MITRE ATT&CK, documentazione delle campagne APT29, e ricerche pubblicate su EnvyScout e QakBot. Le detection strategy derivano da telemetria real-world e best practice di incident response documentate nella community.