Atacantes têm utilizado uma antiga técnica com nova roupagem para infectar computadores. Trata-se da injeção em templates de RTF (Rich Text Format), uma modificação de uma técnica tradicional que utiliza a extensão de arquivo de documentos.

O objetivo é enganar os usuários com golpes do tipo phishing, no qual esses têm contato com o arquivo malicioso por meio de uma URL remota.

Segundo a consultoria de segurança Proofpoint, a técnica tem sido usada por hackers na Índia, Rússia e China, provavelmente visando entidades de seus respectivos governos.

Foi observado também que os incidentes tiveram um aumento significativo em abril e maio de 2021. O grupo hacker DoNot foi um dos autores identificados responsável pelos ataques na Índia.

Já os que partiram da China, esses tinham como alvos organizações ligadas à exploração de energia em águas profundas na Malásia. A técnica também foi usada pelo grupo hacker Gamaredon, ligado ao Serviço de Segurança Federal da Rússia, que alvejou o governo ucraniano em 5 de outubro.

Uma análise do código dos arquivos utilizados pelo grupo DoNot mostra o reaproveitamento de táticas usadas em 2017. Pesquisadores acreditam que ainda há mais recursos de vários anos passados reutilizados nos ataques.

A identificação dos arquivos utilizou a notação de 16-bit de caracteres do Unicode em 5 de abril de 2021. Amostras de arquivos infectados trazem o título “proposta para a defesa”. Alvos foram identificados ainda no Paquistão e no Sri Lanka.

Provavelmente, os arquivos usados para o ataque podem não ter sido detectados pela maioria dos antivírus.

RTF abertos em editores de texto

Apesar dos arquivos .rtf como .doc.rtf serem abertos facilmente em editores de texto como o Word, da Microsoft, há diferenças entre eles. No casos de arquivos .doc.rtf, quando um arquivo RTF Remote Template Injection é aberto, o aplicativo recuperará o recurso da URL especificada antes de prosseguir para exibir o conteúdo do arquivo.

Já com arquivos de extensão .rtf, uma mensagem é exibida quando aberta no Word, que indica que o conteúdo da URL especificada está sendo baixado. Em alguns casos, uma mensagem de erro é exibida, na qual a aplicação especifica que um modelo de documento inválido foi utilizado antes de então exibir o conteúdo da isca dentro do arquivo.

Além disso, a capacidade do RTF para lidar com caracteres Unicode aumenta a viabilidade da eficácia. Com isso, é possível disfarçar URLs maliciosas.

Historicamente, o uso do RTF para embutir código malicioso já foi amplamente documentado. A nova técnica, no entanto, é mais simples e mais efetiva em relação às documentadas anteriormente.

Comentários

0

Please give us your valuable comment

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Inscrever-se
Notificar de
0 Comentários
Feedbacks embutidos
Ver todos os comentários