Vladimir con questa premessa (fonte):
all'interno dell'HTML vengono inseriti link che portano l'utente a visitare siti Web malevoli
Direi che la quesione, analogamente al phishing, rientra nella social engineering quindi è diverso da un malware che si avvia in altro modo: pensiamo ad esempio, sempre all'interno del codice HTML, di uno script JavaScript che apra il link malevolo in automatico, un semplice:
<script>
window.location.replace('https://...');
</script>
Certo un codice JavaScript di questo tipo può essere rilevato più facilmente da un programma antivirus, ma parte in automatico (oppure si può creare un evento tipo addEventListener() e l'azione window.location.replace() parte con un semplice clic inconsapevole all'interno della pagina (diverso da cliccare intenzionalmente su un link).
Un link aperto intenzionalmente invece non viene rilevato come minaccia dai sistemi antivirus, è anche vero che rientrando nella social engineering occorre trovare una vittima inconsapevole, ingenua che di sua volontà clicchi sul link.