Hacker verwenden RTF-Dateien in Phishing-Kampagnen


Hacker mit Laptop
ViChizh / Shutterstock.com

Hacker verwenden zunehmend eine RTF-Template-Injection-Technik , um Informationen von Opfern zu stehlen. Drei APT-Hacking-Gruppen aus Indien, Russland und China verwendeten in ihren jüngsten Phishing-Kampagnen eine neuartige RTF-Template-Injektionstechnik.

Forscher von Proofpoint entdeckten im März 2021 erstmals bösartige RTF-Vorlagen-Injektionen, und das Unternehmen geht davon aus, dass sie im Laufe der Zeit häufiger verwendet werden.

Das passiert laut Proofpoint:

Diese Technik, die als RTF-Template-Injektion bekannt ist, nutzt die legitime Funktionalität des RTF-Templates. Untergräbt die Formateigenschaften eines Nur-Text-Dokuments einer RTF-Datei und ermöglicht das Abrufen einer URL-Ressource anstelle einer Dateiressource durch die Steuerwortfunktion der RTF-Vorlage. Dies ermöglicht einem Bedrohungsakteur, ein legitimes Dateiziel durch eine URL zu ersetzen, von der eine Remote-Nutzlast abgerufen werden kann.

Einfach ausgedrückt fügen Bedrohungsakteure über die Vorlagenfunktion bösartige URLs in die RTF-Datei ein, die dann bösartige Nutzlasten in eine Anwendung laden oder eine Windows New Technology LAN Manager (NTLM)-Authentifizierung gegen eine Remote-URL durchführen können, um Windows-Anmeldeinformationen zu stehlen, was sein könnte katastrophal für den Benutzer, der diese Dateien öffnet.

Wirklich beängstigend wird die Tatsache, dass sie eine geringere Erkennungsrate durch Antivirenanwendungen haben als die bekannte Office-basierte Template-Injection-Technik. Das bedeutet, dass Sie die RTF-Datei herunterladen, über eine Antiviren-App ausführen und sie für sicher halten können, wenn sie etwas Unheimliches verbirgt.

Was können Sie also tun, um es zu vermeiden? Laden und öffnen Sie einfach keine RTF-Dateien (oder andere Dateien, wirklich) von Leuten, die Sie nicht kennen. Wenn etwas verdächtig aussieht, ist es das wahrscheinlich. Seien Sie vorsichtig, was Sie herunterladen, und Sie können das Risiko dieser RTF-Template-Injection-Angriffe mindern.

Der Eintrag Hacker verwenden RTF-Dateien in Phishing-Kampagnen wurde erstmals in ResponTodo veröffentlicht .