Tutto al giorno d’oggi può essere utilizzato per infettare qualche ignara vittima, questo è particolarmente appurato. I semplici programmi possono diventare degli strumenti di distruzione, dei complici con il quale mettere in ostaggio i nostri dati, vederli distrutti senza una particolare causa. Le immagini possono essere infette da qualche sorpresa inaspettata, i documenti possono avere dei macro all’interno che possono infettare il nostro PC. Insomma, ogni contenuto nasconde i suoi pericoli, e gli Hacker trovano sempre qualche trucco ideale per trarci in inganno.
Fra le ultime novità di cosa è stata ideata come un’ideale infezione per i nostri PC, vi è la tecnica dell’RTF Injection. Di cosa tratta esattamente questa minaccia, e come può danneggiare il nostro sistema?
I documenti RTF
Innanzitutto, avrete sicuramente sentito parlare dei documenti RTF. Si tratta appunto, d’un formato di testo definito come Rich Text Format e viene spesso utilizzato in alternativa ai normali formati DOC e DOCX poiché sono compatibili con una vastità molto larga di vari dispositivi. Possono essere liberamente letti in qualsiasi sistema operativo, senza nemmeno il bisogno di usare una suite di Office o comunque un programma di videoscrittura a parte.
Questo significa che sono file piuttosto universali ed è nell’interesse dell’Hacker creare una sorta d’infezione che può funzionare ovunque. In un certo senso, l’RTF Injection può includere una serie di comandi che possono funzionare su Windows, Linux o altri apparati. Basta che questi comandi siano inclusi all’interno del documento, ma per ora molti degli attacchi sono basati esclusivamente sui PC muniti di Windows, in particolar modo 10 ed 11.
Come funziona l’RTF Injection
Come funziona esattamente questo tipo d’infezione? Innanzitutto, non si basa sui Macro. Come già detto, deve essere un documento compatibile con quanti più dispositivi possibili. Quel che utilizza, piuttosto, è un aspetto modificato del Template interno del documento: in poche parole il contenuto vero e proprio del testo.
All’interno di quella, di regola, minuscola parte d’informazione del documento che spiega al programma come il testo è formattato, è presente la minaccia in sé per sé. Tutto quello che è inserito è un indirizzo URL, il quale una volta che viene letto dal documento, viene inizializzato immediatamente in memoria.
Di conseguenza, il server al quale è connesso comincerà a scaricare delle infezioni aggiuntive che agiranno nei loro modi distinti e separati. Il tipo d’infezione è spesso dedicata al sistema, o con una certa priorità su quel che viene letto dai primi virus.
Per far attivare l’infezione bisogna ovviamente aprire il documento. Ricevere il file non comporta alcun pericolo, ma la presenza dell’indirizzo URL dell’interno della programmazione stessa dell’RTF non è facile da individuare. Se è per questo, molti antivirus al momento falliscono la rilevazione di questo mezzo d’infezione, entrando in azione solo quando vengono rilevati i virus successivi.
Come evitare il problema
Esiste un modo per evitare l’infezione, dunque? Al momento, non esistono soluzioni certe. Aprire il documento in un programma che magari non sembra compatibile (come un browser) comunque risulterà nel richiamare l’URL e quindi richiamare il download dei virus. Su Windows 10 ed 11 questo documento sfrutta addirittura il NTLM (Ovvero il New Technology LAN Manager) e può rubare le credenziali d’accesso dell’utente.
Vi esiste qualche modo per evitare assolutamente l’infezione? Disconnettersi da internet è sicuramente un mezzo adeguato, ma solo temporaneamente: comunque il comando rimane in memoria. Come ci si connetterà nuovamente alla rete, il download dei virus inizierà comunque ad avere il suo corso.
L’unica cosa da fare naturalmente è mantenere aggiornati i programmi che vengono utilizzati per aprire i file RTF e di non aprire mai nessun file di questo tipo da persone sconosciute. In poche parole, il vecchio adagio di non aprire nessun tipo di file da persone ovviamente di cui non vi potete fidare completamente.