Un grupo de hackers que trabaja en nombre de los intereses de Rusia, China e India está explotando una nueva y muy simple técnica para impulsar las campañas de phishing, instalar malware y robar información que es de interés para los gobiernos de esos países.
PUBLICIDAD
Los investigadores de ciberseguridad de Proofpoint, citados en ZDNet, informaron que los grupos de amenazas persistentes avanzadas (APT por sus siglas en inglés) están utilizando inyecciones de plantillas de formato de texto enriquecido (RTF).
Si bien el uso de archivos de texto RTF adjuntos en correos electrónicos de phishing no es nuevo, la técnica que utilizan los ciberdelincuentes es más fácil de implementar y más efectiva porque es más difícil de detectar para el software antivirus, y muchas organizaciones no bloquean los archivos RTF de forma predeterminada porque forman parte de las operaciones comerciales diarias, explica el reporte.
Básicamente, al alterar las propiedades de formato de documento de un archivo RTF, es posible que los atacantes utilicen ese documento para recuperar contenido remoto de una URL controlada por los atacantes, lo que les permite recuperar en secreto una carga útil de malware que se instala en la máquina de la víctima.
Los atacantes pueden usar inyecciones de plantilla RTF para abrir documentos en Microsoft Word, que usará la URL maliciosa para recuperar la carga útil mientras también usa Word para mostrar el documento señuelo.
¿Cómo atraen a las víctimas?
Este enfoque puede requerir atraer a los usuarios para que habiliten la edición o el contenido para comenzar el proceso de descarga de la carga útil, pero con un señuelo convincente que pueda engañar a la víctima para que permita que este proceso tome lugar.
No es una técnica compleja, pero debido a que es simple y confiable de usar, se ha vuelto popular entre varias operaciones de piratería de estados, que pueden implementar ataques RTF en lugar de otros ataques más complejos, pero aún así obtener los mismos resultados.
Sherrod DeGrippo, vicepresidente de investigación y detección de amenazas en Proofpoint, explicó que si los atacantes están haciendo bien su trabajo, “ejercerán la menor cantidad de recursos y sofisticación necesarios para obtener acceso a las organizaciones”.
“Esto evita que los hackers expongan herramientas más sofisticadas si se descubren, lo que resulta en una mayor interrupción operativa para que los grupos de actores de amenazas reemplacen las capacidades técnicas cuando son descubiertos”, agregó.
Casos de ataques con archivos RFT
El primer caso conocido por un grupo de APT que utilizó inyecciones de plantilla RTF en una campaña fue en febrero de 2021, en manos de DoNot Team, hackers que se han vinculado a los intereses del estado indio.
También se han visto varias otras operaciones de piratería vinculadas al estado que implementan inyecciones de RTF como parte de las campañas. Estos incluyen al que Proofpoint se refiere como TA423, también conocido como Leviathan, que es un grupo de ATP que está vinculado a China y que ha utilizado ataques RTF en varias campañas desde abril.
Una de estas campañas tuvo lugar en septiembre y se dirigió a entidades en Malasia relacionadas con el sector de exploración de energía, y vino con correos electrónicos de phishing diseñados específicamente para atraer a los objetivos a ejecutar inadvertidamente la carga útil.
Luego, en octubre, los investigadores detectaron a Gamaredon, un grupo de piratería ofensivo que se ha vinculado al Servicio Federal de Seguridad de Rusia (FSB) que utiliza documentos de inyección de plantillas RTF en ataques, que se hacen pasar por el Ministerio de Defensa de Ucrania.
Los investigadores advirtieron que es probable que la efectividad de la técnica combinada con su facilidad de uso impulse su adopción en todo el panorama de amenazas.
“La facilidad de armado en esta técnica probablemente también atraerá a actores de bajo nivel y de baja sofisticación, expandiendo la presencia de esta técnica en la naturaleza, incluidos los actores del crimeware”, concluye DeGrippo.