Aggiornamenti recenti Marzo 24th, 2023 5:00 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Zero-day in calo nel 2022, ma cresce la varietà
- Siamo “dataconsapevoli”? Il cybercrime al tempo dell’economia data-driven
- Sophos sfrutta i modelli GPT per la sicurezza
- La spesa per la sicurezza IT in Europa crescerà del 10%
- Un nuovo Fraud Prevention Center per Poste Italiane
RTF Template Injection: ecco la nuova tecnica dei gruppi APT
Il formato per i documenti di testo si conferma come uno dei vettori di attacco preferiti dai pirati informatici. Come funziona la tecnica di attacco.
Non si tratta di una novità assoluta, ma l’RTF Template Injection rappresenta una strategia che i gruppi di hacker di stato legati a Russia, Cina e India stanno utilizzando con un certo successo per aggirare i sistemi di protezione delle loro vittime.
Come spiegano in un report pubblicato su Internet i ricercatori di Proofpoint, lo stratagemma utilizzato dai pirati è quello di usare le funzionalità dei modelli RTF per elaborare il contenuto del file e “trasformarlo” in una URL che avvia il download di un malware.
Non è la prima volta che i file in formato RTF finiscono sotto i riflettori a causa della “malleabilità” dei contenuti e della possibilità che i pirati informatici li utilizzino come vettore di attacco. Secondo gli autori del report, però, questa tecnica sarebbe più semplice da sfruttare rispetto ad altre garantendo, allo stesso tempo, una maggiore efficacia.
In particolare, l’uso di file RTF avrebbe preso piede a partire dalla primavera 2021, quando alcuni gruppi APT (Advanced Persistent Threat) come il team DoNot, che sarebbe stato il primo a utilizzarlo.
In seguito (l’ultimo caso è datato ottobre 2021) lo stratagemma sarebbe stato utilizzato dal gruppo Gamaredon, legato ai servizi segreti di Mosca.
Il caso che gli analisti hanno approfondito maggiormente, però, è quello degli attacchi condotti ai danni di organizzazioni malesi da parte di TA423, che ha consentito di mettere in evidenza anche le tecniche di ingegneria sociale sfruttate di pirati per aggirare i controlli di Word nei confronti dei documenti che contengono componenti attivi come quelli usati nella RTF Template Injection.
Nel dettaglio, il documento è stato “arricchito” da un messaggio apparentemente visualizzato dal software di videoscrittura (ma in realtà integrato nel documento) che invita a consentire l’esecuzione delle macro per superare un problema di compatibilità. Qualcosa di sicuramente già visto, che però mantiene un’indubbia efficacia.
Condividi l'articolo
L’89% delle organizzazioni sanitarie italiane utilizza dispositivi medici con sistemi operativi obsoleti
Falle di sicurezza in 150 modelli di stampanti HP
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Zero-day in calo nel 2022, ma cresce la varietà Mandiant ha presentato una nuova ricerca che analizza le... -
Siamo “dataconsapevoli”? Il cybercrime al tempo... Quanto siamo “dataconsapevoli”? Con questa... -
Sophos sfrutta i modelli GPT per la sicurezza Sophos ha pubblicato un nuovo report, intitolato Applying... -
I rischi del lavoro remoto preoccupano le aziende L’affermazione del lavoro ibrido e remoto ha... -
Gli attacchi BEC sono sempre più veloci Il team Security Intelligence di Microsoft ha recentemente...
Minacce recenti
Off topic
-
Maythefourth: La caduta dell’Impero Galattico è... E se vi dicessimo che la saga di Star Wars ... -
Gli hacker e il cinema: i dieci migliori film secondo... Abbiamo rubato al blog di Kaspersky un vecchio pezzo di... -
Campione di scacchi blinda il PC. “Paura degli hacker” Il numero uno degli scacchi mondiali Magnus Carlsen ha... -
L’autore di fsociety pensa di essere Mr. Robot, ma è un... Il pirata informatico che ha creato il ransomware cerca... -
Yahoo sospende l’inoltro delle email. Paura di un esodo... Dopo la raffica di figuracce, l’azienda sospende per...
Post recenti
-
Siamo “dataconsapevoli”? Il cybercrime al tempo... Quanto siamo “dataconsapevoli”? Con questa...
-
La spesa per la sicurezza IT in Europa crescerà del 10% IDC ha pubblicato la nuova edizione della Worldwide... -
Un nuovo Fraud Prevention Center per Poste Italiane Poste Italiane ha inaugurato un nuovo Fraud Prevention... -
Google scopre 18 vulnerabilità nei chipset mobile Samsung... I ricercatori di sicurezza di Google hanno individuato e... -
Kaspersky aggiorna il decryptor per il ransomware Conti Kaspersky ha pubblicato un aggiornamento per il decryptor...
Ransomware: la serie
No posts found.
