Phishing : la technique de l’injection de modèles RTF gagne en popularité

Phishing : la technique de l’injection de modèles RTF gagne en popularité auprès des hackers

Selon les chercheurs de Proofpoint, des hackers ont développé une nouvelle technique d’attaque qui peut être utilisée dans une campagne de phishing. Il s’agit de l’injection de modèles RTF, exploitée notamment par des  groupes APT opérant depuis la Chine, la Russie ou encore l’Inde. 

Récupérer facilement du contenu malveillant à partir d’une URL distante

Phishing : la technique de l’injection de modèles RTF gagne en popularité

Le fichier RTF a déjà été utilisé pour livrer des fichiers malveillants. La technique n’est pas nouvelle. D’ailleurs, celle-ci a déjà été documentée. Néanmoins, cette méthode observée par les chercheurs de Proofpoint semble être plus efficace et plus simple

L’injection de modèle RTF permet notamment de diffuser facilement des logiciels malveillants sur des systèmes ciblés dans le cadre d’une campagne de phishing. Les acteurs malveillants manipulent les fichiers RTF pour en faire un outil de récupération de charges utiles malveillantes. 

Les hackers modifient les propriétés de mise en forme en exploitant les fonctionnalités des modèles RTF. Ils utilisent un éditeur hexadécimal et indiquent une ressource URL. Et ce, au lieu d’utiliser une destination de ressource de fichier accessible. Ils récupèrent ensuite la charge utile distante à partir de l’URL.

Une méthode en pleine expansion

Grâce à cette méthode, les acteurs malveillants ont la possibilité d’envoyer des fichiers Word qui semblent ne présenter aucun danger. Le fichier RTF contient en effet un contenu leurre. Son ouverture via Word va d’abord télécharger la ressource à partir de l’URL spécifiée avant d’afficher le leurre. 

Des groupes APT (Advanced Persistent Threat, un mode de piratage furtif et persistant) utilisent de plus en plus cette technique de l’injection de modèle RTF. Selon les chercheurs, les groupes DoNot Team, Gamaredon et TA423 exploitent déjà cette technique.

L’utilisation de l’injection de modèle RTF est encore limitée mais va certainement gagner du terrain auprès des hackers. Efficace et facile à mettre en place, celle-ci est susceptible de séduire les acteurs malveillants selon les experts. 

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Pin It on Pinterest