Trois différents acteurs menaçants parrainés par des États alignés avec la Chine, l’Inde et la Russie ont été observés en train d’adopter une nouvelle méthode appelée RTF (alias Rich Text Format) injection de modèles dans le cadre de leurs campagnes de phishing pour diffuser des logiciels malveillants sur des systèmes ciblés.

« L’injection de modèles RTF est une nouvelle technique idéale pour les pièces jointes de phishing malveillantes, car elle est simple et permet aux acteurs malveillants de récupérer du contenu malveillant à partir d’une URL distante à l’aide d’un fichier RTF », ont déclaré les chercheurs de Proofpoint dans un nouveau rapport partagé avec The Hacker News.

Au cœur de l’attaque se trouve un fichier RTF contenant du contenu leurre qui peut être manipulé pour permettre la récupération de contenu, y compris les charges utiles malveillantes, hébergé sur une URL externe lors de l’ouverture d’un fichier RTF. Concrètement, il s’appuie sur le RTF fonctionnalité de modèle pour modifier les propriétés de mise en forme d’un document à l’aide d’un éditeur hexadécimal en spécifiant une ressource URL au lieu d’une destination de ressource de fichier accessible à partir de laquelle une charge utile distante peut être récupérée.

En d’autres termes, l’idée est que les attaquants peuvent envoyer des documents Microsoft Word malveillants à des victimes ciblées qui semblent tout à fait inoffensives mais sont conçus pour charger à distance du code malveillant via la fonction de modèle.

Ainsi, lorsqu’un fichier RTF modifié est ouvert via Microsoft Word, l’application procédera au téléchargement de la ressource à partir de l’URL spécifiée avant d’afficher le contenu leurre du fichier. Il n’est donc pas surprenant que la technique soit de plus en plus militarisée par les acteurs de la menace pour diffuser des logiciels malveillants.

Proofpoint a déclaré avoir observé des fichiers RTF d’injection de modèles liés aux groupes APT DoNot Team, Gamaredon et un acteur APT lié à la Chine surnommé TA423 dès février 2021, les adversaires utilisant les fichiers pour cibler des entités au Pakistan, au Sri Lanka, en Ukraine, et ceux opérant dans le secteur de l’exploration énergétique en eau profonde en Malaisie via des leurres sur le thème de la défense et d’autres pays spécifiques.

Alors que l’équipe DoNot a été soupçonnée d’avoir mené des cyberattaques alignées sur les intérêts de l’État indien, Gamaredon a récemment été démasqué par les forces de l’ordre ukrainiennes en tant que membre du Service fédéral de sécurité russe (FSB) avec une propension à frapper le secteur public et privé dans le pays pour récolter des informations classifiées à partir de systèmes Windows compromis à des fins géopolitiques.

« L’innovation par les acteurs de la menace pour amener cette méthode à un nouveau type de fichier dans les RTF représente une surface de menace en expansion pour les organisations du monde entier », ont déclaré les chercheurs. « Bien que cette méthode soit actuellement utilisée par un nombre limité d’acteurs APT avec une gamme de sophistication, l’efficacité de la technique combinée à sa facilité d’utilisation est susceptible de conduire son adoption plus loin dans le paysage des menaces. »