近日,Proofpoint研究人员在与黑客新闻共享的一份新报告中提到,一些攻击者正在采用一种称为RTF(又名富文本格式)模板注入的新方法,作为其网络钓鱼活动的一部分,将恶意软件传递到目标系统。RTF模板注入是一种新技术,非常适合恶意网络钓鱼附件,因为它很简单,并且允许攻击者使用RTF文件从远程URL检索恶意内容。
攻击的核心是就一个RTF文件,其中包含诱饵内容,可以对其进行操作,以便在打开RTF文件时检索托管在外部URL上的内容,包括恶意有效负载。具体而言,它利用 RTF模板功能,通过指定 URL 资源而不是可从中检索远程有效负载的可访问文件资源目标,使用十六进制编辑器来更改文档的格式设置属性。
换句话说,这个想法是攻击者可以将恶意Microsoft Word文档发送给目标受害者,这些文档看起来完全无害,但旨在通过模板功能远程加载恶意代码。
因此,当通过Microsoft Word打开更改的RTF文件时,应用程序将继续从指定的URL下载资源,然后再显示该文件的诱饵内容。因此,威胁行为者越来越多地将该技术武器化以分发恶意软件也就不足为奇了。
"威胁行为者将这种方法引入RTF中新文件类型的创新代表了全球组织威胁的扩展表面积,"研究人员说。"虽然这种方法目前被有限数量的APT参与者使用,但该技术的有效性与其易用性相结合,可能会推动其在整个威胁环境中的采用。
老葫看啊,这也不能算是最新的攻击方法了。利用文本下手的各种手段,随着勒索软件的大肆流行已经变得越来越常见了。
,