det0313-detection-strategy-for-html-smuggling-via-javascript-blob-dynamic-file-d

# DET0313 — Detection Strategy for HTML Smuggling via JavaScript Blob + Dynamic File Drop ## Descrição Esta estratégia detecta HTML smuggling, uma técnica de entrega de payload onde adversários embutem o payload malicioso codificado dentro de um arquivo HTML ou email, que é então decodificado e "escorregado" para o sistema do usuário via JavaScript no contexto do browser — contornando proxies de rede, gateways de e-mail e sandboxes que inspecionam downloads de rede. O payload é reconstituído localmente pelo browser usando JavaScript Blob API, sem nunca transitar pela rede em formato detectável. O mecanismo técnico usa `Blob()` para criar um objeto binário a partir de dados Base64 ou hex embutidos no HTML, seguido de `URL.createObjectURL()` e um clique programático em link de download para forçar a gravação do arquivo no sistema. O arquivo resultante tipicamente é um ISO, ZIP, LNK ou executável que o usuário é instruído a abrir. A telemetria de endpoint — criação de arquivo de download em path de usuário a partir de renderer de browser sem tráfego de rede correspondente — é o indicador diferenciador. Esta técnica foi amplamente adotada por grupos como [[s0650-qakbot|QakBot]], [[s0483-icedid|IcedID]] e campanhas de entrega de [[s0154-cobalt-strike|Cobalt Strike]] como mecanismo de first-stage delivery para contornar proteções de e-mail gateway. A ausência de download de rede combinada com criação de arquivo malicioso é o padrão que distingue HTML smuggling de downloads convencionais. ## Indicadores de Detecção - Arquivo ISO, IMG, ZIP ou PE criado em `%USERPROFILE%\Downloads` com parent process sendo browser, sem conexão de rede de download correspondente - JavaScript com padrão `new Blob([...], {type: ...})` + `createObjectURL` + `click()` automático em HTML anexo de e-mail - Arquivo HTML recebido via e-mail que cria objeto de download ao ser aberto sem requisição HTTP externa - Conteúdo Base64 de grande tamanho (> 1MB) embutido em tag `<script>` de página HTML local - Browser gravando arquivo executável ou ISO em disco sem correspondência em logs de proxy de download - Arquivo criado via blob URL (`blob:null/...`) em diretório de downloads, sem solicitação de rede associada ## Técnicas Relacionadas - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1566-phishing|T1566 — Phishing]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] ## Analytics Relacionadas - [[an0872-analytic-0872|AN0872 — Analytic 0872]] - [[an0873-analytic-0873|AN0873 — Analytic 0873]] - [[an0874-analytic-0874|AN0874 — Analytic 0874]] --- *Fonte: [MITRE ATT&CK — DET0313](https://attack.mitre.org/detectionstrategies/DET0313)*