Hackerii folosesc din ce în ce mai mult o tehnică de injectare a șablonului RTF pentru a phishing pentru informații de la victime. Trei grupuri de hacking APT din India, Rusia și China, au folosit o tehnică nouă de injectare a șabloanelor RTF în campaniile lor recente de phishing.
Cercetătorii de la Proofpoint au observat pentru prima dată injecțiile de șabloane RTF rău intenționate în martie 2021, iar firma se așteaptă ca acestea să devină mai utilizate pe măsură ce trece timpul.
Iată ce se întâmplă, potrivit Proofpoint:
Această tehnică, denumită injecție de șablon RTF, folosește funcționalitatea legitimă a șablonului RTF. Subminează proprietățile de formatare a documentului în text simplu ale unui fișier RTF și permite regăsirea unei resurse URL în loc de o resursă de fișier prin capacitatea unui cuvânt de control al șablonului RTF. Acest lucru permite unui actor de amenințare să înlocuiască o destinație legitimă a fișierului cu o adresă URL de la care poate fi preluată o încărcare utilă de la distanță.
Pentru a spune simplu, actorii amenințărilor plasează adrese URL rău intenționate în fișierul RTF prin intermediul funcției șablon, care apoi poate încărca încărcături utile rău intenționate într-o aplicație sau poate efectua autentificare Windows New Technology LAN Manager (NTLM) împotriva unei adrese URL de la distanță pentru a fura acreditările Windows, care ar putea fi dezastruoasă pentru utilizatorul care deschide aceste fișiere.
Acolo unde lucrurile devin cu adevărat înfricoșătoare este că acestea au o rată de detectare mai mică de către aplicațiile antivirus în comparație cu binecunoscuta tehnică de injectare a șabloanelor bazată pe Office. Asta înseamnă că s-ar putea să descărcați fișierul RTF, să îl rulați printr-o aplicație antivirus și să credeți că este în siguranță atunci când ascunde ceva sinistru.
Deci, ce poți face pentru a o evita? Pur și simplu nu descărcați și deschideți fișiere RTF (sau orice alte fișiere, într-adevăr) de la persoane pe care nu le cunoașteți. Dacă ceva pare suspect, probabil că este. Fiți atenți la ce descărcați și puteți atenua riscul acestor atacuri de injectare de șabloane RTF.