Segurança

Phishing: técnicas com arquivos RTF voltam a ser usadas por hackers

Pesquisadores de cibersegurança alertam para reaproveitamento de técnica usando arquivos facilmente abertos em editores de texto populares

By - Renata Aquino, 7 dezembro 2021 às 14:27

Atacantes têm utilizado uma antiga técnica com nova roupagem para infectar computadores. Trata-se da injeção em templates de RTF (Rich Text Format), uma modificação de uma técnica tradicional que utiliza a extensão de arquivo de documentos.

O objetivo é enganar os usuários com golpes do tipo phishing, no qual esses têm contato com o arquivo malicioso por meio de uma URL remota.

Segundo a consultoria de segurança Proofpoint, a técnica tem sido usada por hackers na Índia, Rússia e China, provavelmente visando entidades de seus respectivos governos.

Foi observado também que os incidentes tiveram um aumento significativo em abril e maio de 2021. O grupo hacker DoNot foi um dos autores identificados responsável pelos ataques na Índia.

Já os que partiram da China, esses tinham como alvos organizações ligadas à exploração de energia em águas profundas na Malásia. A técnica também foi usada pelo grupo hacker Gamaredon, ligado ao Serviço de Segurança Federal da Rússia, que alvejou o governo ucraniano em 5 de outubro.

Uma análise do código dos arquivos utilizados pelo grupo DoNot mostra o reaproveitamento de táticas usadas em 2017. Pesquisadores acreditam que ainda há mais recursos de vários anos passados reutilizados nos ataques.

A identificação dos arquivos utilizou a notação de 16-bit de caracteres do Unicode em 5 de abril de 2021. Amostras de arquivos infectados trazem o título “proposta para a defesa”. Alvos foram identificados ainda no Paquistão e no Sri Lanka.

Provavelmente, os arquivos usados para o ataque podem não ter sido detectados pela maioria dos antivírus.

RTF abertos em editores de texto

Apesar dos arquivos .rtf como .doc.rtf serem abertos facilmente em editores de texto como o Word, da Microsoft, há diferenças entre eles. No casos de arquivos .doc.rtf, quando um arquivo RTF Remote Template Injection é aberto, o aplicativo recuperará o recurso da URL especificada antes de prosseguir para exibir o conteúdo do arquivo.

Já com arquivos de extensão .rtf, uma mensagem é exibida quando aberta no Word, que indica que o conteúdo da URL especificada está sendo baixado. Em alguns casos, uma mensagem de erro é exibida, na qual a aplicação especifica que um modelo de documento inválido foi utilizado antes de então exibir o conteúdo da isca dentro do arquivo.

Além disso, a capacidade do RTF para lidar com caracteres Unicode aumenta a viabilidade da eficácia. Com isso, é possível disfarçar URLs maliciosas.

Historicamente, o uso do RTF para embutir código malicioso já foi amplamente documentado. A nova técnica, no entanto, é mais simples e mais efetiva em relação às documentadas anteriormente.

arquivos hackers phishing rtf técnica

Comentários

0

Please give us your valuable comment

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Subscribe
Notify of
0 Comentários
Inline Feedbacks
View all comments

Matérias relacionadas

Hacker devolve R$ 3 bi roubados e recebe oferta de R$ 2,6 milhões em recompensa

Hacker que roubou R$ 3 bilhões da Poly vai devolver ativos “com juros”

Hacker roda Miui em iPhone

Veja Também

Segurança

Dados privados de população brasileira podem ter sido expostos novamente em vazamento
Imagem representativa mostra biscoitos (ou "cookies") em cima de um teclado de computador, em referência aos arquivos de navegação de internet dos usuários
Privacidade

Google já começou a desabilitar cookies de terceiros no Chrome
Logotipo da rede social Facebook
Tecnologia

Histórico de links: Facebook vai armazenar sites visitados pelos usuários para alimentar publicidade direcionada
Softwares

Google paga US$ 5 bi para pôr fim à ação coletiva por rastrear usuários no modo Incognito