Email phishing e allegati infetti, la tecnica di injection di formati RTF

Una tecnica semplice che permette di recuperare contenuti pericolosi da un URL remoto con un file RTF.

Email phishing in aumento

Proofpoint mette in guardia dalla nuova tecnica di injection di formati RTF destinata a un ampio utilizzo dal cybercrime, attraverso email phishing.

Infatti l’injection di formati RTF è una nuova tecnica, perfetta per allegati di phishing infetti. Oltre ad essere semplice, permette ai malintenzionati di recuperare contenuti pericolosi da un URL remoto utilizzando un file RTF.

La nuova tecnica di injection di formati RTF

Nel 2021 Proofpoint ha rilevato l’impiego di questa tecnica da parte di tre attori APT in India, Russia e Cina, colpendo numerose realtà di potenziale interesse per i rispettivi stati. L’injection di formati RTF è destinata a una più ampia adozione nel mondo del cybercrime. Questo grazie alla sua facilità d’uso e relativa efficacia rispetto ad altre tecniche di phishing basate sull’injection,

Una nuova tecnica di phishing

I ricercatori Proofpoint hanno osservato l’adozione di una nuova tecnica di phishing, facilmente implementata dagli attori APT nel corso di Q2 e Q3 del 2021. L’injection di formati RTF sfrutta la funzione legittima dei formati RTF. Sovvertendo le proprietà di formattazione del documento di testo semplice di un file RTF. Oltre a consentire il recupero di una risorsa URL, invece di un file. In questo modo, un malintenzionato può sostituire una destinazione legittima del file con un URL da cui può essere recuperato un payload remoto.

Proofpoint, attenzione alla nuova tecnica di injection di formati RTF

I file campione di injection RTF analizzati dai ricercatori hanno attualmente un tasso di rilevazione inferiore da parte dei motori antivirus pubblici, rispetto alla ben nota tecnica di template injection basata su Office. Proofpoint ha identificato diverse campagne di phishing che utilizzano questa tecnica. La tecnica sembra circolare all’interno della cerchia degli attori APT in diverse nazioni. Però per Proofpoint il recente aumento del suo utilizzo e la estrema semplicità della sua implementazione potrebbero presto portare a un’ulteriore adozione anche da parte dei criminali informatici.