A Trustwave Spiderlabs kutatása szerint egyre gyakoribb az úgynevezett "HTML-csempészet" a HTML5-ös attribútumok használatával, amelyek offline is működhetnek azáltal, hogy a JavaScript-kódban egy bináris állományt egy megváltoztathatatlan adathalmazban tárolnak. A beágyazott hasznos terhet aztán egy webböngészőn keresztül megnyitva fájlobjektummá dekódolják.
Ez lehetővé teszi a fenyegető elemek számára a HTML sokoldalúságának kihasználását a social engineeringgel kombinálva, hogy a felhasználót a rosszindulatú hasznos teher elmentésére és megnyitására csábítsák. A legújabb kampányok olyan jól ismert márkáknak adják ki magukat, mint az Adobe Acrobat, a Google Drive és a Dropbox, hogy növeljék az archívumok megnyitásának esélyét.
A szállított kártevő törzsek között szerepel a Qakbot trójai és a Cobalt Strike, ami egy pen-tesztelő eszköz, amellyel a fenyegető szereplők gyakran visszaélnek, hogy a hálózatokat sebezhetőségei után kutassanak.
Bernard Bautista és Diana Lopera biztonsági kutatók írják a Spiderlabs blogján: "A HTML-csempészésen keresztül szállított kifinomultabb rosszindulatú programok megjelenésére számítunk, amelyek meggyőzőbb, ismert termékeket megszemélyesítő csalikkal és social engineering trükkökkel, HTML-szintű összetett homályosítással kikerülik a szignatúraalapú észlelést, valamint változatos támadássorozatokat kezdenek, amelyek több felhasználói beavatkozást igényelhetnek, de még mindig hatékonyak lehetnek a kezdeti hozzáférés megszerzéséhez" - írja a Beta News.
