Continuando con el desfile se presentan los
archivos ...
HTA (HTML Application)
Es un programa cuyo código fuente es código HTML,
HTML dinámico y/o uno o más lenguajes scripts soportado por el explorador
Internet Explorer (VBScript o JavaScript). El código HTML es usado para el
interface , mientras que el lenguaje script es usado para la lógica del
programa.
Su extensión es: ".hta".
Código de un programa HTA.
Estos archivos con extensión .HTA, se ejecutan sin
las restricciones del modelo de seguridad del navegador, es decir, se ejecutan
como una aplicación "totalmente confiable".
El motor de los archivos HTA es: mshta.exe, que es dependiente de
Internet Explorer, por lo que si no se tiene instalado el Internet Explorer,
los archivos HTA no se ejecutarán.
Desde la versión de Internet Explorer 5 hasta la 11
los archivos HTA son soportados, aunque también hay que decir, que las
versiones 10 y 11 los soportan pero con menos funciones activas.
Ejecución del programa:
PoC-HTA.hta
Ejecución del archivo:
PoC-HTA.hta, a través de: mshta.exe
Navegador Internet Explorer
ejecutado tras el lanzamiento de la aplicación: PoC-HTA.hta
Un el uso de dicha técnica para el despliegue de
*ware lo encontramos en una nueva variante de ransomware llamada: Spora, que se
ha descubierto en Enero de este año y que aunque sólo afectaba a usuarios de
habla rusa, personalmente, ya lo he empezado a ver por nuestros lares.
Código HTA del ransomware
Spora.
Más
información:
https://en.wikipedia.org/wiki/HTML_Application#Security_considerations
https://www.vmray.com/blog/spora-ransomware-dropper-hta-infect-system/
No hay comentarios:
Publicar un comentario