Tokom 2021. godine primijećene su razne hakerske aktivnosti, ali ona koja se najviše istakla i doživjela određeni porast u korišćenju vezana je uz RTF datoteke koje su postale središte fišing (phishing) kampanja
Kada dobijemo RTF datoteku da preuzimemo preporučuje se dodatni oprez jer se, prema novom trendu, kod tog formata primjećuje sve veći broj pokušaja fišinga.
Hakeri u tim slučajevima sve više koriste tzv. „RTF template injection“ tehniku s kojom „pecaju“ informacije žrtava ili nanose neki drugi oblik štete.
Prvi slični pokušaji ovog oblika phishinga utvrđeni su u martu ove godine.
Kako „RTF template injection“ funkcioniše?
Kada se stvara RTF datoteka, u nju se može uključiti tzv „RTF Template“ tj. predložak koji specifiše na koji će način tekst biti uređen. Ovi predlošci se prije prikaza sadržaja importuju u program koji služi kao RTF pregledač i funkcija im je da sam sadržaj prikažu u ispravnom obliku.
Pošto se proces s predlošcima odvija lokalno na računaru, hakeri u toj situaciji koriste maliciozni URL koji se umeće u RTF datoteku i koji služi za krađu podataka korisnika.
Veliki je problem što RTF datoteke koje su zaražene na ovaj način vrlo lako mogu „proći ispod radara“ antivirusnog programa.
Nivo detekcije ovih oblika fišing kampanja mnogo je niža u odnosu na ostale poznate tehnike kompromitovanja Office datoteka pa stručnjaci smatraju da bi slični napadi mogli biti sve češći. Drugim riječima, korisnik može preuzeti RTF datoteku i napraviti njenu provjeru putem antivirusnog programa, ali maliciozni URL teže će se detektovati i korisnik može misliti da je ona sbezbjedna.
Kako izbjeći takve situacije?
Jednostavno, trebalo bi se voditi računa o datotekama koje se otvaraju. Preuzimanje datoteka ne bi se trebalo provoditi automatizmom, već svaki korisnik mora dobro razmisliti o izvoru iz kojeg dolazi određeni zahtjev ili poruka koja sadrži RTF datoteku. Ako neko nepoznat šalje sadržaj u RTF formatu ili se radi o porukama i zahtjevima koje niste tražili kao korisnici, u tim situacijama svakako bi trebalo da se pripazi.
Trebalo bi se izbjeći preuzimanje sličnog sadržaja ili da se odradi skeniranje datoteke. Isto tako se preporučuje da se Microsoft Office (kao i njegove alternative) uvijek redovno ažurira, a naročito bi trebalo pripaziti na redovno preuzimanje bezbjednosnih zakrpa koje mnogo znače kod pojave novih sajber prijetnji.
„RTF template injection“ je opasna nova prijetnja zbog činjenice da korisnici na računarima i ostalim uređajima redovno otvaraju Office dokumente i rad bez njih (ili njihovih alternativa) u današnje je vrijeme gotovo nezamisliv.
Nekada su RTF datoteke bile mnogo bezbjednije od, npr, DOC ili DOCX datoteka zbog svoje jednostavnosti i odsustvo upotrebe makroa koje jednostavnu instrukciju pretvaraju u nekoliko novih instrukcija koje obavljaju određeni zadatak.
Upotrebom „RTF template injection“ metode RTF datoteke postale su potencijalna opasnost zbog umetnutog URL-a sa kojim kompromituju podaci pa se svim korisnicima savjetuje da budu posebno oprezni u situacijama primanja nepoznatih fajlova i moraju biti svjesni kako se fišing (phishing) može dogoditi bilo kome zbog nepažnje.
(PC Chip)