Des acteurs malveillants APT chinois, indiens et russes développent une nouvelle technique de phishing

0

Après avoir observé trois acteurs APT d’Inde, de Russie et de Chine, les chercheurs Proofpoint ont pu découvrir l’adoption d’une nouvelle technique d’attaque de phishing connue sous le nom d’injection de modèles RTF.

Tribune – Cette technique innovante exploite la légitimité des modèles RTF et subvertit les propriétés du document en texte brut pour ensuite récupérer une ressource URL au lieu d’une ressource fichier. Cela permet aux acteurs de la menace de remplacer une destination de fichier légitime par une URL à partir de laquelle une charge utile distante peut être récupérée.

Les échantillons de fichiers d’injection de modèles RTF analysés par les chercheurs Proofpoint présentent actuellement un taux de détection plus faible par les antivirus publics que la technique classique d’injection de modèles basés sur Office. Proofpoint a identifié des campagnes de phishing distinctes qui utilisent cette technique et qui ont été attribuées à un ensemble diversifié d’acteurs malveillants APT. Alors que cette technique semble être appréciée des acteurs APT dans plusieurs pays et que son utilisation continue d’augmenter et de se banaliser, Proofpoint émet l’hypothèse qu’elle pourrait bientôt être adoptée par les cybercriminels également.

Si historiquement l’utilisation d’objets RTF malveillants intégrés a été bien documentée, comme méthode de livraison de fichiers malveillants, cette nouvelle technique est beaucoup plus simple et efficace pour la livraison de charges utiles à distance. C’est d’ailleurs pour cette raison que de nombreux acteurs malveillants APT ont pu l’exploiter au cours des deuxième et troisième trimestres de l’année 2021.

Pour en savoir plus sur les différents modes opératoires des injections d’objets RTF, veuillez consulter le blog de Proofpoint.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.