Los piratas informáticos utilizan archivos RTF en campañas de phishing

Hacker con una computadora portátil
ViChizh / Shutterstock.com

Los piratas informáticos utilizan cada vez más una  técnica de inyección de plantillas RTF para robar información de las víctimas. Tres grupos de piratería APT de India, Rusia y China utilizaron una técnica novedosa de inyección de plantillas RTF en sus recientes campañas de phishing .

Los investigadores de Proofpoint detectaron por primera vez las inyecciones de plantillas RTF maliciosas en marzo de 2021, y la empresa espera que se utilicen más a medida que pasa el tiempo.

Esto es lo que está sucediendo, según Proofpoint:

Esta técnica, conocida como inyección de plantilla RTF, aprovecha la funcionalidad legítima de la plantilla RTF. Subvierte las propiedades de formato de documento de texto sin formato de un archivo RTF y permite la recuperación de un recurso de URL en lugar de un recurso de archivo a través de la capacidad de palabra de control de plantilla de RTF. Esto permite que un actor de amenazas reemplace un destino de archivo legítimo con una URL desde la cual se puede recuperar una carga útil remota.

En pocas palabras, los actores de amenazas colocan URL maliciosas en el archivo RTF a través de la función de plantilla, que luego puede cargar cargas útiles maliciosas en una aplicación o realizar la autenticación de Windows New Technology LAN Manager (NTLM) contra una URL remota para robar las credenciales de Windows, lo que podría ser desastroso para el usuario que abre estos archivos.

Donde las cosas se ponen realmente aterradoras es que tienen una tasa de detección más baja por parte de las aplicaciones antivirus en comparación con la conocida técnica de inyección de plantillas basada en Office. Eso significa que puede descargar el archivo RTF, ejecutarlo a través de una aplicación antivirus y pensar que es seguro cuando oculta algo siniestro.

Relacionado:  Cómo hacer una sangría francesa en Google Docs

Entonces, ¿qué puedes hacer para evitarlo ? Simplemente no descargue y abra archivos RTF (o cualquier otro archivo, en realidad) de personas que no conoce. Si algo parece sospechoso, probablemente lo sea. Tenga cuidado con lo que descarga y podrá mitigar el riesgo de estos ataques de inyección de plantilla RTF.