Envían documentos maliciosos de Microsoft Word que parecen completamente inocuos
Se ha observado que tres diferentes actores de amenazas patrocinados por el estado alineados con China, India y Rusia adoptan un nuevo método llamado inyección de plantillas RTF (también conocido como formato de texto enriquecido) como parte de sus campañas de phishing para enviar malware a sistemas específicos.
"La inyección de plantillas RTF es una novedosa técnica que es ideal para archivos adjuntos de phishing maliciosos porque es simple y permite a los actores de amenazas recuperar contenido malicioso de una URL remota usando un archivo RTF", dijeron los investigadores de Proofpoint en un nuevo informe.
En el corazón del ataque hay un archivo RTF que contiene contenido de señuelo que se puede manipular para permitir la recuperación de contenido, incluidas cargas útiles maliciosas, alojado en una URL externa al abrir un archivo RTF. Específicamente, aprovecha la funcionalidad de la plantilla RTF para alterar las propiedades de formato de un documento utilizando un editor hexadecimal al especificar un recurso de URL en lugar de un destino de recurso de archivo accesible desde el cual se puede recuperar una carga útil remota.
Dicho de otra manera, la idea es que los atacantes puedan enviar documentos maliciosos de Microsoft Word que parecen completamente inocuos a víctimas específicas pero que están diseñados para cargar código malicioso de forma remota a través de la función de la plantilla.
Por lo tanto, cuando se abre un archivo RTF alterado a través de Microsoft Word, la aplicación procederá a descargar el recurso desde la URL especificada antes de mostrar el contenido atractivo del archivo. Por lo tanto, no es sorprendente que los actores de amenazas estén armando cada vez más la técnica para distribuir malware.
Proofpoint dijo que en febrero de 2021 observó archivos RTF de inyección de plantillas vinculados a los grupos de APT DoNot Team, Gamaredon y un actor de APT (Amenaza persistente avanzada) relacionado con China apodado TA423, con los adversarios utilizando los archivos para apuntar a entidades en Pakistán, Sri Lanka, Ucrania, y aquellos que operan en el sector de exploración de energía en aguas profundas en Malasia a través de señuelos con temas de defensa y otros países específicos.
Si bien se sospecha que el equipo DoNot Team lleva a cabo ataques cibernéticos que están alineados con los intereses del estado indio, Gamaredon fue recientemente denunciado por la policía ucraniana como miembro del Servicio Federal de Seguridad de Rusia (FSB) con una propensión a atacar al sector público y privado en el país por recolectar información clasificada de sistemas Windows comprometidos para obtener ganancias geopolíticas.
"La innovación de los actores de amenazas para llevar este método a un nuevo tipo de archivo en RTF representa una superficie de amenaza en expansión para las organizaciones de todo el mundo", dijeron los investigadores. "Si bien este método es utilizado actualmente por un número limitado de actores de APT con un rango de sofisticación, la efectividad de la técnica combinada con su facilidad de uso probablemente impulse su adopción en todo el panorama de amenazas".
