Attenzione ai file RTF: con questa semplice tecnica diventano veicolo per malware

I gruppi hacker supportati da stati hanno iniziato a sfruttare una nuova tecnica, semplice ma altrettanto efficace, per dare linfa vitale alle campagne di phishing allo scopo di diffondere malware e rubare informazioni e dati che interessano i loro "mandanti". Si tratta di una nuova tendenza riscontrata dai ricercatori di sicurezza di Proofpoint, i quali affermano che i gruppi APT (Advanced Persistent Threat) al soldo di interessi russi, cinesi e indiani, hanno iniziato ad utilizzare file di testo in formato RTF per recapitare malware.

L'uso di file RTF come allegati e-mail per portare avanti campagne di phishing non è una pratica inedita, ma la tecnica utilizzata ora dagli hacker è di più facile implementazione rispetto ad altre e diventa più difficile per i software antivirus rilevare la minaccia. A ciò va aggiunto il fatto che molte realtà non bloccheranno mai i file RTF per impostazione predefinita, poiché fanno parte delle operazioni aziendali quotidiane.

La tecnica, dal nome "RTF template injection", va ad alterare le proprietà di formattazione del file di testo e permette così agli attaccanti di usare come arma un file RTF per andare a recuperare contenuto da remoto proveniente da un URL controllato dagli attaccanti stessi. In questo modo diventa possibile recuperare un payload di malware che viene installato sul sistema della vittima. Gli attaccanti possono usare questa tecnica perché all'apertura di un documento Word venga richiamato l'URL dannoso per andare a recuperare il payload e visualizzare al contempo il documento-esca. Si tratta come detto di una tecnica piuttosto semplice, che è già stata usata con successo in diverse operazioni di hacking di alto livello, che di norma si basano su attacchi più complessi per ottenere gli stessi risultati.

I ricercatori hanno riscontrato per la prima volta l'uso di questa tecnica in una campagna portata avanti nel corso del mese di febbraio 2021 da parte di un gruppo APT conosciuto con il nome di "DoNot Team", che è stato collegato agli interessi dello stato indiano. Ma da allora sono state osservate altre operazioni basate sulla stessa tecnica, alcune ad opera di un gruppo riferito come TA423 o "Leviathan", collegato alla Cina. Più recentemente a settembre una di queste campagne ha messo nel mirino realtà Malesi operanti nel settore dell'esplorazione energetica, mentre a ottobre i ricercatori hanno potuto osservare "Gamaredon", un gruppo hacker collegato ai servizi russi.

Per quanto non siano ancora molti i gruppi che hanno mostrato di usare questa tecnica, i ricercatori Proofpoint avvertono che data la sua semplicità ed efficacia potrebbe essere adottata su più larga scala e non solo a scopo di spionaggio ma anche da parte di criminali con obiettivi più concreti e a figure con minor sofisticatezza e competenza tecnica.