Phishingangreb indlæser malware gennem RTF-dokumenter

Der er ikke noget nyt i, at it-kriminelle forsøger at lokke følsomme og værdifulde oplysninger ud af virksomheder og andre mål verden over. Mange virksomheder har derfor et beredskab over for forsøg på phishing og har opsat skrappe e-mail-filtre og firewalls, som skal forsøge at blokere de mest gængse phishingangreb.

Alligevel har statsstøttede grupperinger af it-kriminelle i Rusland, Kina og Indien ifølge sikkerhedsfirmaet Proofpoint haft held med at foretage et meget simpelt phishingangreb, der udnytter en sårbarhed i den utroligt udbredte dokumentfiltype RTF.

Rich Text Format, som RTF står for, er standardformatet for tekstdokumenter i blandt andet Windows-skriveprogrammet WordPad og kan også håndteres af Microsoft Office.

Læs også: It- og cybersikkerhed har aldrig været vigtigere, end det er i dag

Her ses et eksempel på, hvordan en ondsindet URL-adresse er injiceret i et RTF-dokuments kildekode. Foto: Proofpoint

Malware forklædt som uskyldigt tekstdokument

Angrebet består i al sin enkelthed i at vedhæfte et manipuleret RTF-tekstdokument i en e-mail til et offer. Fordi RTF-filer indgår i mange virksomheders dagligdag, slipper et vedhæftet RTF-dokument fra it-kriminelle gennem mange firewalls.

It-kriminelle har fundet ud af, at man kan ændre i formateringsegenskaberne for en RTF-tekstskabelon. På den måde er det muligt at omdanne et RTF-dokument til et våben, der automatisk fjernindlæser indhold fra en URL kontrolleret af bagmændene.

I det øjeblik offeret åbner det vedhæftede RTF-dokument, vil dokumentet blive åbnet i Word, hvis offeret har programmet installeret. Dog indlæses URL’en først, når offeret aktiverer redigering i dokumentet. URL’en kan indlæse malware, som – hvis antivirussoftware ikke opdager det – i al hemmelighed kan installeres på offerets computer og potentielt kan stjæle data og værdifulde oplysninger.

Angrebet er altså i og for sig temmelig simpelt, men det er først, når de it-kriminelle går målrettet efter specifikke personer og gør brug af såkaldt social engineering, at angrebet er særligt effektivt. Her kan offeret blive snydt til at tro, at indholdet er reelt, hvorved dokumentet åbnes. Den skadelige software har dermed fundet vej ind til offerets computer og i værste fald også spredt sig videre til andre dele af virksomheden.

Læs også: Sådan beskytter du din virksomhed mod phishingangreb

Kortlægning over russiske, kinesiske og indiske hackergruppers anvendte teknikker i 2021. Foto: Proofpoint

Bruges af kinesiske, russiske og indiske hackergrupper

Ifølge sikkerhedsfirmaet Proofpoint har metoden vundet udbredelse blandt såkaldte advanced persistent threats (APT’er) – nærmere bestemt indiske, kinesiske og russiske hackergrupper, som arbejder på vegne af de respektive nationer.

De tidligste forsøg på at indlæse malware gennem RTF-dokumenter kan spores tilbage til februar 2021, hvor hackergruppen DoNot Team, som er forbundet til Indien, anvendte teknikken. Gruppen TA423/Levithan, som er forbundet til Kina, brugte metoden i april, maj/juni og september, mens Gamaredon, som har forbindelser til Ruslands Føderale Sikkerhedstjeneste (FSB), brugte metoden i oktober.

Læs også: Cyberangreb mod danske virksomheder er eksploderet

Forventer at metoden breder sig

Metoden med at injicere malware i RTF-tekstskabeloner anses for et være en metode, der ikke kræver særlig mange ressourcer i forhold til andre teknikker. Samtidig undgår hackergrupperne at afsløre mere sofistikerede værktøjer, hvis de bliver afsløret, hvilket vil kræve, at der skal findes på nye teknikker.

Proofpoint advarer derfor også mod, at metoden med at indlæse malware gennem RTF-dokumenter, der ser helt uskyldige ud, ventes at blive en mere udbredt trussel, som virksomheder skal forholde sig til.

En mere teknisk gennemgang af, hvordan angrebet eksekveres, kan læses på Proofpoints hjemmeside.

Læs også: Nyheder om it- og cybersikkerhed