Невидимка RTF: как устаревший формат обманывает современную защиту

Хакеры нашли новый способ использовать формат Rich Text Format (.RTF) в фишинговых атаках. Эксперты по кибербезопасности из компании Ironscales сообщают о резком росте числа подобных кампаний в 2024 году. Только в марте 2024 года исследователи зафиксировали и заблокировали 6755 таких атак.

Особенность данной атаки заключается в использовании устаревшего формата файлов, персонализации вложений и обфускации URL-адресов. Формат .RTF нечасто встречается в наши дни, что снижает подозрительность у получателей писем, поясняют исследователи. Более того, традиционные системы фильтрации электронной почты редко помечают такие вложения как подозрительные. Поэтому жертвы более склонны открывать .RTF файлы, полученные по электронной почте.

Хакеры также применяют персонализацию имени вложения, чтобы повысить доверие жертвы. Имя файла в письме адаптируется под домен целевой компании, что создает впечатление, что вложение связано с самой организацией.

Кроме того, в .RTF файлах содержатся ссылки, замаскированные таким образом, что на первый взгляд они выглядят безопасно и ведут на известные сайты, например, microsoft.com. Однако хакеры используют символ @ для перенаправления на вредоносные сайты. Например, ссылка может выглядеть так: https://www.microsoft.com@malicious-site.com/invoice.pdf . В этом случае браузер игнорирует все, что находится перед символом @, и переходит по адресу после него.

Такой метод позволяет злоумышленникам вводить в заблуждение пользователей, не проверяющих полные URL-адреса. Данный подход демонстрирует, что киберпреступники продолжают совершенствовать свои методы, и организациям необходимо принимать меры для защиты, чтобы не стать их жертвами.