S razvojem tehnologije dolaze i nove opasnosti. Hakeri koji stvaraju malware prate nove trendove i odabiru nove načine na koje mogu lakše ugroziti korisnike.
Tijekom 2021. godine primijećene su razne slične aktivnosti, ali ona koja se najviše istaknula te doživjela određeni porast u korištenju vezana je uz RTF datoteke koje su postale središte phishing kampanja.
Što je RTF datoteka?
RTF je skraćenica za „Rich Text Format“. Radi se o datotekama koje imaju „.rtf“ ekstenziju i one, za razliku od običnih tekstualnih datoteka koje se sastoje samo od čistog teksta, sadrže dodatnu informacije o stilovima fonta, uređivanju i mnogim drugim stavkama. RTF datoteke izvrsne su za dijeljenje među različitim platformama jer ih podržava veliki broj aplikacija. Njihova najčešća upotreba je prilikom izmjene dokumenata između Microsoftovih proizvoda i drugih aplikacija.
RTF je Microsoft stvorio još tijekom 80-ih godina s namjerom da se izradi format koji će biti korišten kod različitih programa za obradu teksta, a time se istodobno htjelo omogućiti olakšano dijeljenje dokumenata. RTF je bio zadani format unutar WordPad programa te se koristio kod Windows datoteka za pomoć korisnicima.
Microsoft je stao s razvojem RTF-a 2008. godine, ali taj format je još uvijek podržan od strane brojnih aplikacija te se nalazi na gotovo svakom operativnom sustavu.
Gdje se nalaze RTF datoteke?
Svaki korisnik na svom računalu već sigurno ima programe i aplikacije s kojima se mogu otvarati RTF datoteke.
Primjerice, svaki program za obradu teksta kao što je Microsoft Word, LibreOffice, OpenOffice ili AbiWord može otvarati RTF datoteke.
Koja je razlika između RTF i DOC (DOCX) datoteka?
RTF datoteke su u odnosu na DOC (DOCX) datoteke mnogo jednostavnije i one se mogu otvarati u gotovo svakom programu za obradu teksta. Iz tog razloga se RTF format često koristi prilikom razvoja drugih aplikacija i programa jer izvrsno funkcionira na različitim platformama.
Kod svakog operativnog sustava postoji program za uređivanje RTF datoteka kao što je WordPad na Windowsima ili Apple TextEdit te Apple Pages na Macu.
Servisi koji služe za pohranu podataka i njihovo sinkroniziranje poput Dropboxa, OneDrivea ili Google Drivea imaju ugrađene preglednike s kojima se RTF datoteke mogu pregledavati ili uređivati. Također nije rijetka upotreba RTF formata kod raznih servisa elektroničke pošte.
Ponekad se može dogoditi da kao korisnici dobijemo RTF datoteku za preuzimanje i svakako se preporuča dodatni oprez u tim situacijama jer se, prema novom trendu, kod tog formata primjećuje sve veći broj pokušaja phishinga.
Hakeri u tim slučajevima sve više koriste tzv. „RTF template injection“ tehniku s kojom „pecaju“ informacije žrtava ili nanose neki drugi oblik štete.
Prvi slični pokušaji ovog oblika phishinga utvrđeni su u ožujku ove godine.
Kako „RTF template injection“ funkcionira?
Kada se stvara RTF datoteka, u nju se može uključiti tzv „RTF Template“ tj. predložak koji specificira na koji će način tekst biti uređen. Ovi predlošci se prije prikaza sadržaja importiraju u program koji služi kao RTF preglednik i funkcija im je da sam sadržaj prikažu u ispravnom obliku.
Pošto se proces s predlošcima odvija lokalno na računalu, hakeri u toj situaciji koriste maliciozni URL koji se umeće u RTF datoteku i koji služi za krađu podataka korisnika.
Veliki je problem što RTF datoteke koje su zaražene na ovaj način vrlo lako mogu „proći ispod radara“ antivirusnog programa. Razina detekcije ovih oblika phishing kampanja mnogo je niža u odnosu na ostale poznate tehnike kompromitiranja Office datoteka pa stručnjaci smatraju kako bi slični napadi mogli biti sve češći. Drugim riječima, korisnik može preuzeti RTF datoteku i napraviti njenu provjeru putem antivirusnog programa, ali maliciozni URL teže će se detektirati i korisnik može misliti kako je ona sigurna.
Kako izbjeći slične situacije?
Jednostavno treba voditi računa o datotekama koje se otvaraju. Preuzimanje datoteka ne bi se trebalo provoditi automatizmom, već svaki korisnik mora dobro razmisliti o izvoru iz kojeg dolazi određeni zahtjev ili poruka koja sadrži RTF datoteku. Ako netko nepoznat šalje sadržaj u RTF formatu ili se radi o porukama i zahtjevima koje niste tražili kao korisnici, u tim situacijama svakako treba pripaziti.
Trebalo bi se izbjeći preuzimanje sličnog sadržaja ili u krajnju ruku odraditi potrebni sken datoteke. Isto tako se preporuča da se Microsoft Office (kao i njegove alternative) uvijek redovito ažurira, a posebno treba pripaziti na redovito preuzimanje sigurnosnih zakrpi koje zaista mnogo znače kod pojave novih cyber prijetnji.
„RTF template injection“ opasna je nova prijetnja zbog činjenice kako korisnici na računalima i ostalim uređajima redovito otvaraju Office dokumente i rad bez njih (ili njihovih alternativa) u današnje je vrijeme gotovo nezamisliv.
U prijašnjim vremenima RTF datoteke slovile su kao mnogo sigurnije od, primjerice, DOC ili DOCX datoteka zbog svoje jednostavnosti i izostanka korištenja makronaredbi koje jednostavnu uputu pretvaraju u nekoliko novih uputa s kojima se odrađuje pojedini zadatak.
Korištenjem „RTF template injection“ metode RTF datoteke postale su potencijalna opasnost zbog umetnutog URL-a s kojim se mogu kompromitirati podaci pa se svim korisnicima preporučuje dodatni oprez u situacijama primanja nepoznatih datoteka te moraju biti svjesni kako se phishing može bilo kome dogoditi uslijed nepažnje.
Piše: Ervin Mičetić