HTML em Anexo: Um Programa Disfarçado que Engana Filtros de E-mail e Como o SOC o Detecta
Descubra por que anexos HTML, disfarçados de páginas web inofensivas, representam uma ameaça significativa, como eles contornam as defesas tradicionais e as estratégias que os times de SOC utilizam para identificá-los e neutralizá-los.
MundiX News·02 de maio de 2026·15 min de leitura·👁 6 views
Anexos HTML, frequentemente percebidos como meras páginas web, são na verdade programas executáveis para navegadores, capazes de realizar ações maliciosas como a coleta e download de arquivos sem qualquer solicitação externa. Essa capacidade transformou os anexos HTML em um método preferencial para operadores de ameaças como Qakbot, IcedID e NOBELIUM, com um aumento notável registrado desde 2021. Essa técnica evoluiu, incorporando variantes em SVG, contêineres ISO e thread hijacking, sendo reconhecida pelo MITRE como sub-técnicas T1027.006 (HTML Smuggling) e T1027.017 (SVG Smuggling).
O sucesso do HTML smuggling reside em explorar uma falha arquitetural nos sistemas de segurança de e-mail. Filtros de e-mail (SEG - Secure Email Gateway) analisam anexos antes que cheguem à caixa de entrada, verificando tipos MIME, extensões e executando-os em sandboxes. No entanto, o HTML smuggling não entrega um arquivo executável diretamente. Em vez disso, envia um arquivo de texto contendo JavaScript e dados codificados. O navegador da vítima, ao abrir o arquivo HTML, decodifica os dados, monta um arquivo binário na memória e inicia o download. O SEG, que já processou o arquivo como um simples texto, não detecta essa atividade. Sandboxes podem ser enganadas por atrasos na execução do payload, e o JavaScript do navegador não é escaneado pelo AMSI (Antimalware Scan Interface), que foca em scripts do lado do servidor como PowerShell. Essa "zona cega" é precisamente o que o HTML smuggling explora.
A mecânica por trás do HTML smuggling é conceitualmente simples, utilizando APIs legítimas do navegador. Uma string base64 é decodificada em um array de bytes, transformada em um objeto Blob, e então um URL de blob é criado para iniciar o download. Funções como atob(), Uint8Array.from(), new Blob(), URL.createObjectURL() e o elemento <a download> com .click() são empregadas. Para compatibilidade com ambientes mais antigos, window.navigator.msSaveOrOpenBlob() também pode ser utilizado. Como o payload está inteiramente contido no HTML, filtros de URL, bloqueio de domínios e inspeção TLS tornam-se ineficazes. A ofuscação é a segunda camada de defesa contra detecção, empregando técnicas como decodificadores aninhados (atob(atob(...))), divisão do payload em pedaços, reconstrução via String.fromCharCode, ofuscação com document.write(), atrasos com setTimeout() e ofuscadores comerciais de JavaScript. Estatísticas indicam que o uso de document.write() e funções de decodificação em anexos HTML é significativamente mais alto em amostras maliciosas do que em legítimas, servindo como um indicador estatístico para detecção.
O SVG smuggling, uma variante, explora a natureza do SVG como XML que pode conter scripts. Arquivos SVG são frequentemente classificados como gráficos e podem não ser escaneados para JavaScript por muitos gateways. Ao serem abertos pelo navegador, o script embutido é executado, seguindo o mesmo padrão de HTML smuggling com Blobs. O uso de SVG em phishing aumentou drasticamente, levando alguns fornecedores a implementar "HTML Attachment Deep Scanning". Portanto, arquivos .svg em e-mails devem ser tratados com o mesmo ceticismo que arquivos .html.
Exemplos reais demonstram a eficácia dessa técnica. A campanha NOBELIUM (EnvyScout) em 2021 utilizou HTML smuggling para entregar um loader Cobalt Strike, contornando verificações SPF, DKIM e DMARC. Após o bloqueio de macros do Office pelo Microsoft em 2022, o Qakbot migrou rapidamente para HTML smuggling, entregando payloads via anexos HTML, ZIPs protegidos por senha e ISOs. O Qakbot também empregou thread hijacking, enviando e-mails maliciosos como respostas em conversas legítimas. O IcedID (Bokbot), um trojan bancário, seguiu um padrão semelhante, atuando como um dropper para ransomware. Essas campanhas destacam que a segurança de e-mail não é garantida por simples verificações de autenticidade, e que o thread hijacking explora a confiança estabelecida em comunicações anteriores.
Para equipes de Blue Team, a detecção estática de anexos HTML pode focar em indicadores como strings base64 com mais de 10 KB, a presença de atob(), new Blob(), createObjectURL(), eval() ou document.write(), o uso de .download e .click() sem interação do usuário, msSaveOrOpenBlob(), setTimeout() com atrasos, decodificadores aninhados, e arrays de números grandes com String.fromCharCode. Regras YARA podem ser criadas para identificar esses padrões. Na ponta do endpoint, a detecção comportamental é crucial. O Sysmon Event ID 15 pode identificar arquivos baixados com Zone.Identifier contendo HostUrl=about:internet ou HostUrl=blob:. O Sysmon Event ID 11 pode detectar processos de navegador criando arquivos .zip, .iso, .img, etc., especialmente quando correlacionado com a montagem de imagens e a execução de processos suspeitos a partir delas. A cadeia "navegador → ZIP → ISO → montagem → execução" é um forte indicador de comprometimento.
Medidas de configuração preventiva incluem a criação de regras de transporte no Exchange Online para bloquear anexos .html, .htm e .svg, e a ativação de regras ASR (Attack Surface Reduction) como "Block JavaScript or VBScript from launching downloaded executable content". Bloquear a montagem de ISO/IMG/VHD para usuários comuns via GPO também é uma medida eficaz. Em treinamentos de conscientização, os funcionários devem ser instruídos a tratar anexos HTML e SVG como programas, não abrir arquivos inesperados, desconfiar de arquivos compactados com senha enviados diretamente no corpo do e-mail, reportar a montagem de novos discos virtuais e entender que verificações de spam não garantem segurança. A técnica de HTML smuggling não depende de exploits ou zero-days, mas sim do uso inteligente de funcionalidades web padrão em cenários para os quais os gateways de e-mail não foram projetados. A defesa eficaz requer uma abordagem em camadas, combinando políticas de segurança, detecção no endpoint, análise comportamental e conscientização do usuário.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Anexos HTML, frequentemente percebidos como meras páginas web, são na verdade programas executáveis para navegadores, capazes de realizar ações maliciosas como a coleta e download de arquivos sem qualquer solicitação externa. Essa capacidade transformou os anexos HTML em um método preferencial para operadores de ameaças como Qakbot, IcedID e NOBELIUM, com um aumento notável registrado desde 2021. Essa técnica evoluiu, incorporando variantes em SVG, contêineres ISO e thread hijacking, sendo reconhecida pelo MITRE como sub-técnicas T1027.006 (HTML Smuggling) e T1027.017 (SVG Smuggling).
O sucesso do HTML smuggling reside em explorar uma falha arquitetural nos sistemas de segurança de e-mail. Filtros de e-mail (SEG - Secure Email Gateway) analisam anexos antes que cheguem à caixa de entrada, verificando tipos MIME, extensões e executando-os em sandboxes. No entanto, o HTML smuggling não entrega um arquivo executável diretamente. Em vez disso, envia um arquivo de texto contendo JavaScript e dados codificados. O navegador da vítima, ao abrir o arquivo HTML, decodifica os dados, monta um arquivo binário na memória e inicia o download. O SEG, que já processou o arquivo como um simples texto, não detecta essa atividade. Sandboxes podem ser enganadas por atrasos na execução do payload, e o JavaScript do navegador não é escaneado pelo AMSI (Antimalware Scan Interface), que foca em scripts do lado do servidor como PowerShell. Essa "zona cega" é precisamente o que o HTML smuggling explora.
A mecânica por trás do HTML smuggling é conceitualmente simples, utilizando APIs legítimas do navegador. Uma string base64 é decodificada em um array de bytes, transformada em um objeto Blob, e então um URL de blob é criado para iniciar o download. Funções como atob(), Uint8Array.from(), new Blob(), URL.createObjectURL() e o elemento <a download> com .click() são empregadas. Para compatibilidade com ambientes mais antigos, window.navigator.msSaveOrOpenBlob() também pode ser utilizado. Como o payload está inteiramente contido no HTML, filtros de URL, bloqueio de domínios e inspeção TLS tornam-se ineficazes. A ofuscação é a segunda camada de defesa contra detecção, empregando técnicas como decodificadores aninhados (atob(atob(...))), divisão do payload em pedaços, reconstrução via String.fromCharCode, ofuscação com document.write(), atrasos com setTimeout() e ofuscadores comerciais de JavaScript. Estatísticas indicam que o uso de document.write() e funções de decodificação em anexos HTML é significativamente mais alto em amostras maliciosas do que em legítimas, servindo como um indicador estatístico para detecção.
O SVG smuggling, uma variante, explora a natureza do SVG como XML que pode conter scripts. Arquivos SVG são frequentemente classificados como gráficos e podem não ser escaneados para JavaScript por muitos gateways. Ao serem abertos pelo navegador, o script embutido é executado, seguindo o mesmo padrão de HTML smuggling com Blobs. O uso de SVG em phishing aumentou drasticamente, levando alguns fornecedores a implementar "HTML Attachment Deep Scanning". Portanto, arquivos .svg em e-mails devem ser tratados com o mesmo ceticismo que arquivos .html.
Exemplos reais demonstram a eficácia dessa técnica. A campanha NOBELIUM (EnvyScout) em 2021 utilizou HTML smuggling para entregar um loader Cobalt Strike, contornando verificações SPF, DKIM e DMARC. Após o bloqueio de macros do Office pelo Microsoft em 2022, o Qakbot migrou rapidamente para HTML smuggling, entregando payloads via anexos HTML, ZIPs protegidos por senha e ISOs. O Qakbot também empregou thread hijacking, enviando e-mails maliciosos como respostas em conversas legítimas. O IcedID (Bokbot), um trojan bancário, seguiu um padrão semelhante, atuando como um dropper para ransomware. Essas campanhas destacam que a segurança de e-mail não é garantida por simples verificações de autenticidade, e que o thread hijacking explora a confiança estabelecida em comunicações anteriores.
Para equipes de Blue Team, a detecção estática de anexos HTML pode focar em indicadores como strings base64 com mais de 10 KB, a presença de atob(), new Blob(), createObjectURL(), eval() ou document.write(), o uso de .download e .click() sem interação do usuário, msSaveOrOpenBlob(), setTimeout() com atrasos, decodificadores aninhados, e arrays de números grandes com String.fromCharCode. Regras YARA podem ser criadas para identificar esses padrões. Na ponta do endpoint, a detecção comportamental é crucial. O Sysmon Event ID 15 pode identificar arquivos baixados com Zone.Identifier contendo HostUrl=about:internet ou HostUrl=blob:. O Sysmon Event ID 11 pode detectar processos de navegador criando arquivos .zip, .iso, .img, etc., especialmente quando correlacionado com a montagem de imagens e a execução de processos suspeitos a partir delas. A cadeia "navegador → ZIP → ISO → montagem → execução" é um forte indicador de comprometimento.
Medidas de configuração preventiva incluem a criação de regras de transporte no Exchange Online para bloquear anexos .html, .htm e .svg, e a ativação de regras ASR (Attack Surface Reduction) como "Block JavaScript or VBScript from launching downloaded executable content". Bloquear a montagem de ISO/IMG/VHD para usuários comuns via GPO também é uma medida eficaz. Em treinamentos de conscientização, os funcionários devem ser instruídos a tratar anexos HTML e SVG como programas, não abrir arquivos inesperados, desconfiar de arquivos compactados com senha enviados diretamente no corpo do e-mail, reportar a montagem de novos discos virtuais e entender que verificações de spam não garantem segurança. A técnica de HTML smuggling não depende de exploits ou zero-days, mas sim do uso inteligente de funcionalidades web padrão em cenários para os quais os gateways de e-mail não foram projetados. A defesa eficaz requer uma abordagem em camadas, combinando políticas de segurança, detecção no endpoint, análise comportamental e conscientização do usuário.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
