Hackers estão usando arquivos RTF em campanhas de phishing

Hacker com um laptop
ViChizh / Shutterstock.com

Os hackers estão usando cada vez mais uma  técnica de injeção de modelo RTF para procurar informações das vítimas. Três grupos de hackers APT da Índia, Rússia e China usaram uma nova técnica de injeção de modelo RTF em suas recentes campanhas de phishing .

Os pesquisadores da Proofpoint identificaram pela primeira vez as injeções de modelos RTF maliciosos em março de 2021, e a empresa espera que se tornem mais amplamente utilizadas com o passar do tempo.

Aqui está o que está acontecendo, de acordo com a Proofpoint:

Essa técnica, conhecida como injeção de modelo RTF, potencializa a funcionalidade de modelo RTF legítimo. Ele subverte as propriedades de formatação de documento de texto simples de um arquivo RTF e permite a recuperação de um recurso de URL em vez de um recurso de arquivo por meio de um recurso de palavra de controle de modelo de RTF. Isso permite que um agente de ameaça substitua um destino de arquivo legítimo por uma URL a partir da qual uma carga remota pode ser recuperada.

Para simplificar, os agentes de ameaças estão colocando URLs maliciosos no arquivo RTF por meio da função de modelo, que pode então carregar cargas maliciosas em um aplicativo ou executar a autenticação do Windows New Technology LAN Manager (NTLM) em um URL remoto para roubar credenciais do Windows, que pode ser desastroso para o usuário que abre esses arquivos.

O que fica realmente assustador é que eles têm uma taxa de detecção mais baixa por aplicativos antivírus quando comparados à conhecida técnica de injeção de modelos baseada no Office. Isso significa que você pode baixar o arquivo RTF, executá-lo por meio de um aplicativo antivírus e achar que é seguro quando está escondendo algo sinistro.

Recomendado:  Como selecionar vários arquivos no Windows

Então, o que você pode fazer para evitá-lo ? Simplesmente não baixe e abra arquivos RTF (ou quaisquer outros arquivos, na verdade) de pessoas que você não conhece. Se algo parece suspeito, provavelmente é. Tenha cuidado com o que você baixa e pode reduzir o risco desses ataques de injeção de modelo de RTF.