completamente inocuas pero que están diseñados para cargar código malicioso a través de la función de plantilla de forma remota
Por lo tanto, cuando se abre un archivo RTF alterado a través de Microsoft Word, la aplicación procederá a descargar el recurso desde la URL especificada antes de mostrar el contenido atractivo del archivo. Por lo tanto, no es sorprendente que los actores de amenazas estén armando cada vez más la técnica para distribuir malware.
Proofpoint dijo que observó archivos RTF de inyección de plantillas vinculados a los grupos de APT DoNot Team , Gamaredon y un actor de APT relacionado con China apodado TA423 en febrero de 2021, y que los adversarios utilizaron los archivos para apuntar a entidades en Pakistán, Sri Lanka, Ucrania. y aquellos que operan en el sector de exploración de energía en aguas profundas en Malasia a través de señuelos con temas de defensa y otros señuelos específicos de cada país.
Si bien se sospecha que el equipo DoNot Team lleva a cabo ataques cibernéticos que están alineados con los intereses del estado indio, Gamaredon fue recientemente denunciado por la policía ucraniana como miembro del Servicio Federal de Seguridad de Rusia (FSB) con una propensión a atacar al sector público y privado en el país por recolectar información clasificada de sistemas Windows comprometidos para obtener ganancias geopolíticas.
"La innovación de los actores de amenazas para llevar este método a un nuevo tipo de archivo en RTF representa una superficie de amenaza en expansión para las organizaciones de todo el mundo", dijeron los investigadores. "Si bien este método es utilizado actualmente por un número limitado de actores de APT con una gama de sofisticación, es probable que la eficacia de la técnica combinada con su facilidad de uso impulse su adopción en todo el panorama de amenazas".
[Fuente]: thehackernews.com
Anónimo.( 1 de Diciembre de 2021).1081 images. [Fotografía]. Modificado por Carlos Zambrado Recuperado de thehackernews.com
