No puede garantizar que un archivo sea realmente un archivo de imagen, video, PDF o texto mirando las extensiones de archivo. En Windows, los atacantes pueden ejecutar un PDF como si fuera un EXE.
Esto es bastante peligroso, porque un archivo que descargas de Internet, confundiéndolo con un archivo PDF, en realidad puede contener un virus muy dañino. ¿Alguna vez te has preguntado cómo hacen esto los atacantes?
Explicación de los virus troyanos
Los virus troyanos derivan su nombre del ataque de los aqueos (griegos) en la mitología griega a la ciudad de Troya en Anatolia. Troy se encuentra dentro de los límites de la actual ciudad de Çanakkale. Según las narraciones, existió un modelo de caballo de madera construido por Odiseo, uno de los reyes griegos, para superar las murallas de la ciudad de Troya. Los soldados se escondieron dentro de este modelo y entraron en secreto a la ciudad. Si te lo estás preguntando, todavía se encuentra una copia de este modelo de caballo en Çanakkale, Turquía.
El caballo de Troya representó una vez un ingenioso engaño y una ingeniosa hazaña de ingeniería. Hoy, sin embargo, se considera un malware digital malicioso cuyo único propósito es dañar las computadoras de destino sin ser detectado. Este el virus se llama troyano debido al concepto de no ser detectado y causar daño.
Los troyanos pueden leer contraseñas, registrar las teclas que presiona en su teclado o tomar como rehén a toda su computadora. Son bastante pequeños para este propósito y pueden causar daños graves.
¿Qué es el método RLO?
Muchos idiomas se pueden escribir de derecha a izquierda, como el árabe, el urdu y el persa. Muchos atacantes usan esta naturaleza de lenguaje para lanzar varios ataques. Un texto que es significativo y seguro para usted cuando lo lee comenzando desde la izquierda puede estar escrito desde la derecha y hacer referencia a un archivo completamente diferente. Puede usar el método RLO que existe en el sistema operativo Windows para manejar los idiomas de derecha a izquierda.
Hay un carácter RLO para esto en Windows. Tan pronto como use este carácter, su computadora comenzará a leer el texto de derecha a izquierda. Los atacantes que usan esto tienen una buena oportunidad para ocultar extensiones y nombres de archivos ejecutables.
Por ejemplo, suponga que escribe una palabra en inglés de izquierda a derecha y esa palabra es Software. Si agrega el carácter RLO de Windows después de la letra T, todo lo que escriba después se leerá de derecha a izquierda. Como resultado, su nueva palabra será Softeraw.
Para entender esto mejor, revise el siguiente diagrama.
¿Se puede poner un troyano en un PDF?
En algunos ataques de PDF maliciosos, es posible colocar exploits o scripts maliciosos dentro del PDF. Muchas herramientas y programas diferentes pueden hacer esto. Además, es posible hacer esto cambiando los códigos existentes del PDF sin usar ningún programa.
Sin embargo, el método RLO es diferente. Con el método RLO, los atacantes presentan un EXE existente como si fuera un PDF para engañar al usuario objetivo. Entonces solo cambia la imagen del EXE. El usuario objetivo, por otro lado, abre este archivo creyendo que es un PDF inocente.
Cómo usar el método RLO
Antes de explicar cómo mostrar un EXE como PDF con el método RLO, revisa la imagen a continuación. ¿Cuál de estos archivos es PDF?
No se puede determinar esto de un vistazo. En su lugar, Y=necesitas mirar el contenido del archivo. Pero en caso de que se lo pregunte, el archivo de la izquierda es el PDF real.
Este truco es bastante fácil de hacer. Los atacantes primero escriben código malicioso y lo compilan. El código compilado da una salida en formato exe. Los atacantes cambian el nombre y el ícono de este EXE y convierten su apariencia en un PDF. Entonces, ¿cómo funciona el proceso de nombramiento?
Aquí es donde entra en juego RLO. Por ejemplo, suponga que tiene un EXE llamado iamsafefdp.exe. En esta etapa, el atacante colocará un carácter RLO entre Estoy a salvo y fdp.exe a cambiar el nombre del archivo. Es bastante fácil hacer esto en Windows. Simplemente haga clic derecho mientras cambia el nombre.
Todo lo que tiene que entender aquí es que después de que Windows ve el carácter RLO, se lee de derecha a izquierda. El archivo sigue siendo un EXE. Nada ha cambiado. Simplemente parece un PDF en apariencia.
Después de esta etapa, el atacante ahora reemplazará el ícono del EXE con un ícono de PDF y enviará este archivo a la persona objetivo.
La imagen de abajo es la respuesta a nuestra pregunta anterior. El EXE que ve a la derecha se creó con el método RLO. En apariencia, ambos archivos son iguales, pero su contenido es completamente diferente.
¿Cómo puede protegerse de este tipo de ataque?
Como con muchos problemas de seguridad, hay varias precauciones que puede tomar con este problema de seguridad. La primera es utilizar la opción de cambio de nombre para comprobar el archivo que desea abrir. Si elige la opción de cambio de nombre, el sistema operativo Windows seleccionará automáticamente el área fuera de la extensión del archivo. Entonces, la parte no seleccionada será la extensión real del archivo. Si ve el formato EXE en la parte no seleccionada, no debe abrir este archivo.
También puede verificar si se ha insertado un carácter oculto usando la línea de comando. Para esto, simplemente utilizar el directorio dominio como sigue.
Como puede ver en la captura de pantalla anterior, hay algo extraño en el nombre del archivo llamado útil. Esto indica que hay algo de lo que debes sospechar.
Tome precauciones antes de descargar un archivo
Como puede ver, incluso un simple archivo PDF puede hacer que su dispositivo caiga bajo el control de los atacantes. Es por eso que no debe descargar todos los archivos que ve en Internet. No importa cuán seguros creas que son, siempre piénsalo dos veces.
Antes de descargar un archivo, hay varias precauciones que puede tomar. En primer lugar, debe asegurarse de que el sitio desde el que está descargando sea confiable. Puede consultar el archivo que descargará más tarde en línea. Si está seguro de todo, depende totalmente de usted tomar esta decisión.
