Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Entradas populares

PostHeaderIcon Plantillas y archivos RTF de phishing contienen malware: activa protecciones en Office




3 grupos de APTs de India, Rusia y China están utilizando una nueva técnica de inyección de plantillas RTF (formato de texto enriquecido) en sus recientes campañas de phishing. Esta técnica es un método simple pero efectivo para recuperar contenido malicioso de una URL remota, y los analistas de amenazas esperan que llegue pronto a una audiencia más amplia de actores de amenazas. Investigadores de Proofpoint detectaron los primeros casos de inyección de plantillas RTF armadas en marzo de 2021 y, desde entonces, los actores han estado optimizando constantemente la técnica.



Un método simple para recuperar payloads

Los archivos con formato de texto enriquecido (RTF) son documentos   creado por Microsoft que se puede abrir con Microsoft Word, WordPad y otras aplicaciones que se encuentran en casi todos los sistemas operativos.

Aunque ya se conocían métodos para descargar archivos través de las plantillas de Office alojadas de forma remota, ahora los ciertos atacantes están usando plantillas en archivos RTF abiertos con Word. Al crear archivos RTF, puede incluir una plantilla RTF que especifique cómo se debe formatear el texto del documento. Estas plantillas son archivos locales importados a un visor RTF antes de mostrar el contenido del archivo para formatearlo correctamente.

Si bien las plantillas RTF están destinadas a ser alojadas localmente, los actores de amenazas ahora están abusando de esta funcionalidad legítima para recuperar un recurso de URL en lugar de un recurso de archivo local.

Esta sustitución permite a los actores de amenazas agregar cargas útiles maliciosas en una aplicación como Microsoft Word o realizar la autenticación NTLM contra una URL remota para robar las credenciales de Windows. Además, como estos archivos se transfieren como plantillas RTF, es más probable que eviten los señuelos de detección de phishing, ya que inicialmente no están presentes en los archivos RTF.

Crear plantillas RTF remotas es muy simple, ya que todo lo que tiene que hacer un actor de amenazas es agregar el comando {\*\template URL} en un archivo RTF usando un editor hexadecimal, como se muestra a continuación. 


   El método también es viable en archivos doc.rtf abiertos en Microsoft Word, lo que obliga a la aplicación a recuperar el recurso de la URL especificada antes de entregar el contenido a la víctima, como se muestra a continuación.

Proofpoint ha observado este método de recuperación de carga útil en campañas de phishing del grupo de hacking pro-indio DoNot Team, el grupo Gamaredon vinculado a Rusia y los actores de amenazas TA423.

Archivos RTF malignos

Los archivos RTF pueden analizar caracteres Unicode de 16 bits, por lo que los actores de amenazas han estado usando Unicode en lugar de cadenas de texto sin formato para el recurso de URL inyectado para evadir la detección. El analista de seguridad Rafa Pedrero ha publicado una descripción detallada de cómo decodificar este formato de URL dentro de los archivos de DoNot Team tras la aparición de una muestra.

Dado que las inyecciones de plantillas RTF se logran fácilmente con una herramienta de edición hexadecimal y los escáneres antivirus no las detectan con tanta frecuencia, los agentes de amenazas las utilizarán más ampliamente. 

Para defenderse de esta amenaza, debes evitar descargar y abrir archivos RTF que lleguen a través de correos electrónicos no solicitados, escanearlos con un escáner AV y mantener actualizado Microsoft Office aplicando las últimas actualizaciones de seguridad disponibles.


Otro método de infección ficheros JS (JavaScript)

La infección comienza con un correo electrónico de phishing que contiene un archivo adjunto de JavaScript malicioso con una doble extensión '.TXT.js'. Como Windows oculta las extensiones de forma predeterminada, si un destinatario guarda el archivo en su computadora, aparecerá como un archivo de texto inofensivo. 


Consejo básico de seguridad en Windows: Mostrar la extensión real de un archivo


Una extensión de nombre de archivo es un conjunto de caracteres que se agregan al final de un nombre de archivo para determinar qué programa debería abrirlo.

  1. Para abrir Opciones de carpeta, haga clic en el botón Inicio, en Panel de control, en Apariencia y personalización y, por último, en Opciones de carpeta.
  2. Haga clic en la ficha Ver y, a continuación, en Configuración avanzada, realice una de las acciones siguientes:
    • Para mostrar las extensiones de nombre de archivo, desactiva la casilla Ocultar las extensiones de archivo para tipos de archivo conocidos y, a continuación, haga clic en Aceptar.

Desmarcar Ocultar las extensiones de archivo para tipos de archivo conocidos

Antes: .pdf

Ahora mostrará: .pdf.exe

Ejemplos:

Antes: los fichero son mostrados con un icono falso, Windows no nos muestra la verdadera extensión del documento


Ahora: después ya podemos ver que aunque el icono es de un PDF, mp3, Excel o ZIP, en realidad es un fichero con extensión EXE.


Estos archivos de texto está muy ofuscado para evitar la detección por parte del software de seguridad y se decodificará cuando se haga doble clic en el archivo y se inicie.

Sin embargo, las puertas de enlace de correo electrónico detectarán el cargador si la organización ha habilitado el bloqueo de archivos adjuntos ejecutables, como archivos .JS, .EXE, .BAT, .COM. 

Otra forma de detener el desarrollo de la cadena de infección es cambiar el controlador de archivos predeterminado para archivos JS, permitir que solo se ejecuten scripts firmados digitalmente o deshabilitar WSH (Windows Script Host)


Fuentes:
https://www.bleepingcomputer.com/news/security/state-backed-hackers-increasingly-use-rtf-injection-for-phishing/


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.