coding-gbd6ea047f_1280.jpeg

Hackers usam técnica de injeção RTF para espalhar malware

Técnica de ataque torna mais fácil disseminar malware, roubar dados e evitar a detecção, dizem pesquisadores
Da Redação
02/12/2021

Grupos de hackers ligados à Rússia, China e Índia estão utilizando uma nova técnica de ataque que torna mais fácil disseminar malware, roubar dados e evitar a detecção, de acordo com um relatório da empresa de segurança Proofpoint.

Grupos de ameaças persistentes avançadas (APTs) estão usando uma técnica chamada injeção de modelo em formato rich text (RTF), que é semelhante a uma tática de injeção de modelo que explora arquivos do Microsoft Office. Os cibercriminosos estão usando a nova técnica para aproveitar os anexos de arquivo de texto RTF em e-mails de phishing.

O que torna a técnica de injeção de modelo RTF uma ameaça é que é mais fácil para os hackers implementarem. “É trivial alterar os bytes de um arquivo RTF existente para inserir um destino de palavra de controle de modelo, incluindo um recurso de URL”, escreveram os pesquisadores da Proofpoint em uma postagem no blog da empresa. Segundo eles, é mais difícil [a injeção de modelo RTF] de ser detectada por soluções de segurança de antivírus e endpoints.

Os pesquisadores dizem ter visto campanhas de phishing distintas executadas por grupos APT nos três países usando as injeções de modelo RTF durante o segundo e terceiro trimestres, mas acrescentam que “com base no recente aumento em seu uso e na trivialidade de sua implementação, que em breve poderá ser adotado por cibercriminosos” que tenham motivação financeira.

Ataques de injeção de modelo RTF anteriores, ao longo dos anos, exigiam que os cibercriminosos enviassem arquivos do Office como Doc e PPT para as vítimas e, posteriormente, carregassem a carga maliciosa por meio do modelo. Agora eles estão usando arquivos RTF do Windows.

De acordo com os pesquisadores da Proofpoint, a injeção de modelo RTF é uma tática simples. Um arquivo RTF contendo conteúdo falso pode ser manipulado depois que é aberto para permitir que o conteúdo seja hospedado em uma URL externa controlada pelos hackers, que podem secretamente trazer uma carga maliciosa que é instalada nos sistemas quando as vítimas abrem os documentos.

Veja isso
Process ghosting: nova técnica de hacking adultera imagem
Técnicas de ‘cyber-squatting’ que imitam domínios ficam mais sofisticadas

“Embora historicamente o uso de objetos RTF maliciosos incorporados tenha sido bem documentado como um método para entrega de arquivos de malware usando RTFs, esta nova técnica é mais simples e, de certa forma, um método mais eficaz para entrega remota de carga útil do que as técnicas anteriormente documentadas”, escreveram os pesquisadores.

A Proofpoint viu a técnica de injeção de modelo de RTF sendo cada vez mais usada entre fevereiro e abril por grupos APT, embora os pesquisadores tenham começado a discutir sobre isso em janeiro. Havia dois grupos APT —TA423, associado à China, e DoNot, vinculado à Índia — que começaram a usar a nova tática em março, com o registro dos primeiros domínios. Várias campanhas se seguiram ao longo de abril e maio, escreveram os pesquisadores.

Outras campanhas atribuídas ao grupo DoNot foram identificadas até o início de julho, e arquivos RTF provavelmente provenientes do TA423 foram vistos no final de setembro, visando organizações que estão ligadas à exploração de energia em águas profundas da Malásia.

O grupo Gamaredon ATP — que tem sido vinculado ao Serviço de Segurança Federal Russo (FSB) — foi detectado usando arquivos de injeção de modelo RTF em campanhas no início de outubro usando documentos que se faziam passar pelo Ministério da Defesa. Essa tática é consistente com relatórios que ligaram Gamaredon ao FSB em outras partes da Ucrânia, incluindo a República da Crimeia e a cidade de Sebastopol, escreveram os pesquisadores. Com agências de notícias internacionais.

Compartilhar:

Parabéns, você já está cadastrado para receber diariamente a Newsletter do CISO Advisor

Por favor, verifique a sua caixa de e-mail: haverá uma mensagem do nosso sistema dando as instruções para a validação de seu cadastro. Siga as instruções contidas na mensagem e boa leitura. Se você não receber a mensagem entre em contato conosco pelo “Fale Conosco” no final da homepage.

ATENÇÃO: INCLUA [email protected] NOS CONTATOS DE EMAIL

(para a newsletter não cair no SPAM)