A nemzetállami támogatással működő hekkercsoportok közül egyre többen alkalmazmak egy szimpla, de hatékony technikát az adathalász kampányok indítására és a rosszindulatú programok terjesztésére, ami nemsokára szélesebb körben is elterjedhet majd – olvasható a Proofpoint blogján közzétett bejegyzésben. A kiberbiztonsági vállalat kutatói szerint az orosz, kínai és indiai csoportok már elkezdték alkalmazni a rich text (RTF) templéteket a befecskendezéses támadások végrehajtásához, a fájlok dokumentumformázási tulajdonságainak megváltoztatásával távoli tartalmat hívva meg az általuk által ellenőrzött URL-ről.

Bár az RTF szöveges mellékletek használata nem újkeletű az adathalász e-mailekben, a most leírt technikát azért tartják könnyen telepíthetőnek és hatékonynak, mivel a víruskereső szoftverek nehezebben észlelik. Sok szervezet alapértelmezés szerint nem is blokkolja az elektronikus levelekhez csatolt RTF dokumentumokat, sőt azok a mindennapi üzleti tevékenység részét képezik. A formátumot a Microsoft fejleszti 1987 óta kifejezetten a platformfüggetlen dokumentumcserét célozva, így a specifikációja is nyilvános, és a legtöbb szerkesztő- vagy olvasóprogram képes kezelni.

Nemsokára a köztörvényesek is felfedezik

A támadók ebben az esetben mégis kifejezetten a Microsoft Word programjával nyitják meg a preparált dokumentumokat, a felhasználókat pedig pszichológiai trükkökkel (social engineering) veszik rá, hogy engedélyezzék a tartalom szerkesztését vagy engedélyezzék a tartalom letöltését. A Proofpoint szerint ez egyáltalán nem számít kifinomult módszernek, de egyszerű és megbízható használata miatt az idén népszerűvé vált az államilag szponzorált hekkerakciók során.

Ezzel a technikával ugyanis sikerülhet ugyanolyan eredményeket elérniük, mint az összetettebb támadásokkal. A szóban forgó csoportok bármilyen magas szintű képességekkel rendelkeznek, igyekeznek a lehető legkevesebb erőforrás és munka ráfordításával hozzáférni a kiszemelt rendszerekhez. Az RTF dokumentumok bevetése ráadásul azt is megakadályozza, hogy feltárják más, kifinomultabb eszközeiket, ami a tevékenységük felfedezésekor nekik is problémákat okozhat.

A kutatók szerint a legkorábbi ismert példa az ilyen RTF-alapú befecskendezéses támadásokra 2021 februárjából származik, amikor az indiai állammal összeköthető hekkerek alkalmazták a megoldást az egyik kampányuk során. Azóta számos másik, szintén állami hátterű csoport folyamodott ehhez a módszerhez, a Proofpoint felsorolásában kínai és orosz csoportok is szerepelnek több akciójukkal.

A társaság arra is figyelmeztet, hogy a technika hatékonysága és könnyű használhatósága miatt valószínűleg egyre több ilyen próbálkozásra számíthatunk, és a tisztán pénzügyi motivációval rendelkező bűnözök részéről is sorban jönnek majd az olyan kampányok, amelyek ezt az eljárást próbálják alkalmazni. A technikára ugyanis a kevésbé képzett, nem annyira kifinomult szereplők is felfigyelnek, ez pedig általánosságban kiterjeszti a módszer előfordulását.