- L’injection di formati RTF è una nuova tecnica, perfetta per allegati di phishing infetti: è semplice e permette ai malintenzionati di recuperare contenuti pericolosi da un URL remoto utilizzando un file RTF.
- Nel 2021 Proofpoint ha rilevato l’impiego di questa tecnica da parte di tre attori APT in India, Russia e Cina, colpendo numerose realtà di potenziale interesse per i rispettivi stati.
- L’injection di formati RTF è destinata a una più ampia adozione nel mondo del cybercrime, grazie alla sua facilità d’uso e relativa efficacia rispetto ad altre tecniche di phishing basate sull’injection,
Osservazioni
I ricercatori Proofpoint hanno osservato l’adozione di una nuova tecnica di phishing, facilmente implementata dagli attori APT nelcorso di Q2 e Q3 del 2021. L’injection di formati RTF sfrutta la funzione legittima dei formati RTF, sovvertendo le proprietà di formattazione del documento di testo semplice di un file RTF,consentendo il recupero di una risorsa URL, invece di un file,attraverso la capacità di controllo delle parole del modello RTF. In questo modo, un malintenzionato può sostituire una destinazione legittima del file con un URL da cui può essere recuperato un payload remoto.
I file campione di injection RTF analizzati dai ricercatori hannoattualmente un tasso di rilevazione inferiore da parte dei motori antivirus pubblici, rispetto alla ben nota tecnica di template injectionbasata su Office. Proofpoint ha identificato diverse campagne di phishing che utilizzano questa tecnica, attribuite a diversi attori APT in the wild. Nonostante questa tecnica sembri circolare all’interno della cerchia degli attori APT in diverse nazioni, per Proofpoint ilrecente aumento del suo utilizzo e la estrema semplicità della sua implementazione potrebbero presto portare a un’ulteriore adozione anche da parte dei criminali informatici.
L’analisi completa è riportata a questo link: https://www.proofpoint.com/us/blog/threat-insight/injection-new-black-novel-rtf-template-inject-technique-poised-widespread
