Você não pode garantir que um arquivo seja realmente uma imagem, vídeo, PDF ou arquivo de texto observando as extensões de arquivo. No Windows, os invasores podem executar um PDF como se fosse um EXE.
Isso é bastante perigoso, pois um arquivo que você baixa da internet, confundindo-o com um arquivo PDF, pode na verdade conter um vírus muito prejudicial. Você já se perguntou como os invasores fazem isso?
Vírus Trojan explicados
Os vírus troianos derivam seu nome do ataque dos aqueus (gregos) na mitologia grega na cidade de Tróia, na Anatólia. Tróia está localizada dentro dos limites da atual cidade de Çanakkale. Segundo as narrativas, existiu um modelo de cavalo de madeira construído por Odisseu, um dos reis gregos, para vencer as muralhas da cidade de Tróia. Os soldados se esconderam dentro deste modelo e entraram secretamente na cidade. Se você está se perguntando, uma cópia deste modelo de cavalo ainda é encontrada em Çanakkale, na Turquia.
O cavalo de Tróia já representou um engano inteligente e uma façanha engenhosa da engenharia. Hoje, no entanto, é visto como um malware digital malicioso, cujo único propósito é danificar os computadores-alvo sem ser detectado. Esse vírus é chamado de Trojan por causa do conceito de não ser detectado e causar danos.
Os cavalos de Tróia podem ler senhas, gravar as teclas que você pressiona no teclado ou tomar todo o seu computador como refém. Eles são muito pequenos para essa finalidade e podem causar sérios danos.
O que é o método RLO?
Muitos idiomas podem ser escritos da direita para a esquerda, como árabe, urdu e persa. Muitos invasores usam essa natureza de linguagem para lançar vários ataques. Um texto que é significativo e seguro para você quando você o lê a partir da esquerda pode, na verdade, ser escrito da direita e se referir a um arquivo completamente diferente. Você pode usar o método RLO que existe no sistema operacional Windows para lidar com idiomas da direita para a esquerda.
Existe um caractere RLO para isso no Windows. Assim que você usar esse caractere, seu computador começará a ler o texto da direita para a esquerda. Os invasores que usam isso têm uma boa oportunidade de ocultar extensões e nomes de arquivos executáveis.
Por exemplo, suponha que você digite uma palavra em inglês da esquerda para a direita e essa palavra seja Software. Se você adicionar o caractere do Windows RLO após a letra T, qualquer coisa que você digitar depois disso será lida da direita para a esquerda. Como resultado, sua nova palavra será Softeraw.
Para entender isso melhor, reveja o diagrama abaixo.
Um Trojan pode ser colocado em um PDF?
Em alguns ataques de PDF maliciosos, é possível colocar exploits ou scripts maliciosos dentro do PDF. Muitas ferramentas e programas diferentes podem fazer isso. Além disso, é possível fazer isso alterando os códigos existentes do PDF sem usar nenhum programa.
No entanto, o método RLO é diferente. Com o método RLO, os invasores apresentam um EXE existente como se fosse um PDF para enganar o usuário-alvo. Portanto, apenas a imagem do EXE muda. O usuário-alvo, por outro lado, abre esse arquivo acreditando ser um PDF inocente.
Como usar o método RLO
Antes de explicar como mostrar um EXE como PDF com o método RLO, reveja a imagem abaixo. Qual destes arquivos é PDF?
Você não pode determinar isso de relance. Em vez disso, Y=você precisa examinar o conteúdo do arquivo. Mas caso você esteja se perguntando, o arquivo à esquerda é o PDF real.
Esse truque é bem fácil de fazer. Os invasores primeiro escrevem código malicioso e o compilam. O código compilado fornece uma saída no formato exe. Os invasores alteram o nome e o ícone deste EXE e transformam sua aparência em um PDF. Então, como funciona o processo de nomeação?
É aqui que o RLO entra em ação. Por exemplo, suponha que você tenha um EXE chamado iamsafefdp.exe. Nesta fase, o atacante colocará um personagem RLO entre Eu estou seguro e fdp.exe para renomeie o arquivo. É muito fácil fazer isso no Windows. Basta clicar com o botão direito do mouse ao renomear.
Tudo o que você precisa entender aqui é que, depois que o Windows vê o caractere RLO, ele lê da direita para a esquerda. O arquivo ainda é um EXE. Nada mudou. Parece apenas um PDF na aparência.
Após essa etapa, o invasor agora substituirá o ícone do EXE por um ícone PDF e enviará esse arquivo para a pessoa alvo.
A imagem abaixo é a resposta à nossa pergunta anterior. O EXE que você vê à direita foi criado usando o método RLO. Na aparência, os dois arquivos são iguais, mas seu conteúdo é completamente diferente.
Como você pode se proteger desse tipo de ataque?
Como acontece com muitos problemas de segurança, existem várias precauções que você pode tomar com esse problema de segurança. A primeira é usar a opção renomear para verificar o arquivo que deseja abrir. Se você escolher a opção de renomear, o sistema operacional Windows selecionará automaticamente a área fora da extensão do arquivo. Portanto, a parte não selecionada será a extensão real do arquivo. Se você vir o formato EXE na parte não selecionada, não abra este arquivo.
Você também pode verificar se um caractere oculto foi inserido usando a linha de comando. Para isso basta use o dir comando do seguinte modo.
Como você pode ver na captura de tela acima, há algo estranho no nome do arquivo chamado útil. Isso indica que há algo que você deve suspeitar.
Tome precauções antes de baixar um arquivo
Como você pode ver, até mesmo um simples arquivo PDF pode fazer seu dispositivo cair sob o controle de invasores. É por isso que você não deve baixar todos os arquivos que vê na internet. Não importa o quão seguro você pense que eles são, sempre pense duas vezes.
Antes de baixar um arquivo, existem várias precauções que você pode tomar. Em primeiro lugar, você deve se certificar de que o site do qual está baixando é confiável. Você pode verificar online o arquivo que irá baixar posteriormente. Se você tem certeza de tudo, cabe inteiramente a você tomar essa decisão.
