Tin tặc đang ngày càng sử dụng kỹ thuật tiêm mẫu RTF để lừa đảo lấy thông tin từ nạn nhân. Ba nhóm tấn công APT từ Ấn Độ, Nga và Trung Quốc, đã sử dụng một kỹ thuật tiêm mẫu RTF mới trong các chiến dịch lừa đảo gần đây của họ.
Các nhà nghiên cứu tại Proofpoint lần đầu tiên phát hiện ra các tiêm mẫu RTF độc hại vào tháng 3 năm 2021 và công ty hy vọng nó sẽ được sử dụng rộng rãi hơn khi thời gian trôi qua.
Đây là những gì đang xảy ra, theo Proofpoint:
Kỹ thuật này, được gọi là tiêm mẫu RTF, thúc đẩy chức năng mẫu RTF hợp pháp. Nó lật đổ các thuộc tính định dạng tài liệu văn bản thuần túy của tệp RTF và cho phép truy xuất tài nguyên URL thay vì tài nguyên tệp thông qua khả năng từ điều khiển mẫu của RTF. Điều này cho phép tác nhân đe dọa thay thế đích tệp hợp pháp bằng URL mà từ đó tải trọng từ xa có thể được truy xuất.
Nói một cách đơn giản, các tác nhân đe dọa đang đặt các URL độc hại trong tệp RTF thông qua hàm mẫu, sau đó có thể tải các trọng tải độc hại vào một ứng dụng hoặc thực hiện xác thực Windows New Technology LAN Manager (NTLM) đối với một URL từ xa để lấy cắp thông tin đăng nhập Windows, có thể là một tai hại cho người dùng mở các tệp này.
Nơi mà mọi thứ trở nên thực sự đáng sợ là những ứng dụng này có tỷ lệ phát hiện thấp hơn bởi các ứng dụng chống vi-rút khi so sánh với kỹ thuật tiêm mẫu dựa trên Office nổi tiếng. Điều đó có nghĩa là bạn có thể tải xuống tệp RTF, chạy nó thông qua một ứng dụng chống vi-rút và nghĩ rằng nó an toàn khi nó ẩn chứa thứ gì đó nham hiểm.
Vậy bạn có thể làm gì để tránh nó? Chỉ cần không tải xuống và mở các tệp RTF (hoặc bất kỳ tệp nào khác, thực sự) từ những người bạn không biết. Nếu điều gì đó có vẻ đáng ngờ, nó có thể là. Hãy cẩn thận với những gì bạn tải xuống và bạn có thể giảm thiểu rủi ro của các cuộc tấn công chèn mẫu RTF này.
