Entenda Como Hackers Podem Disfarçar Programas Maliciosos Com Extensões de Arquivos Enganosas

Hackers Podem Disfarçar Programas Maliciosos Com Extensões de Arquivos Enganosas.


Extensões de arquivos podem ser “falsificadas” — aquele arquivo com uma extensão .mp3 pode na verdade ser um programa executável. Hackers podem falsificar extensões de arquivos ao abusar de um “caractere Unicode especial”, forçando o texto a ser exibido em uma ordem inversa.

Por padrão o Windows também oculta extensões de arquivos, cujo é outra maneira que usuários novatos podem ser induzidos ao erro — um arquivo com um nome como imagem.jpg.exe terá a aparência de um arquivo de imagem JPEG inofensivo.

Disfarçando Extensões de Arquivos Com o Exploit “Unitrix”

Se você deixa sempre a opção mostrar extensões de arquivo ativa (veja abaixo) e presta atenção nelas, você pode ter a impressão de estar a salvo de ataques relacionados a extensões de arquivos. No entanto, existem outras maneiras das pessoas disfarçarem as extensões dos arquivos.

Apelidado de “Unitrix” exploit pela Avast após ter sido usado pelo malware Unitrix, este método tira vantagem de um caractere especial em Unicode para inverter a ordem dos caracteres em um nome de arquivo, escondendo a perigosa extensão no meio do nome do mesmo e colocando uma extensão de arquivo falsa aparentemente inofensiva, próximo ao final do nome do arquivo.

O caractere do Unicode é o U+202E: Right-to-Left Override (projetado para idiomas escritos da direita para a esquerda), que força programas a exibir texto na ordem inversa. Enquanto esta função é obviamente útil para alguns propósitos, ela provavelmente não deveria ser suportada em nomes de arquivos.

Mapa de caracteres do Windows 8.

Essencialmente, o nome verdadeiro do arquivo pode ser algo como “Musica Espetacular enviado por [U+202E]3pm.SCR”. O caractere especial força o Windows a exibir o final do nome do arquivo ao contrário, desta forma o nome do arquivo irá aparecer como “Musica Espetacular enviado por RCS.mp3”. No entanto, ele não é um arquivo MP3 — é um arquivo SCR e será executado se você der um clique duplo nele. (Veja abaixo mais tipos de extensões de arquivo perigosas).

Arquivo executável do tipo Proteção de tela.

Este exemplo foi pego em um site de crackers — como ele é extremamente enganoso, fica aí o alerta para que você sempre fique de olho nos arquivos que você baixa!

O Windows Oculta Extensões de Arquivos Por Padrão

A maioria dos usuários foi treinada a nunca executar arquivos .exe não confiáveis baixados diretamente da internet, pela chance deles poderem ser maliciosos. Muitos usuários também sabem que alguns tipos de arquivos são seguros — por exemplo, se você possui uma imagem JPEG chamada imagem.jpg, você pode dar um clique duplo nela e a mesma será aberta no seu aplicativo de visualização de imagens, sem correr nenhum risco de ser infectado.

Há apenas um único problema — o Windows oculta as extensões de arquivo por padrão. O arquivo imagem.jpg na verdade pode ser imagem.jpg.exe, e quando você der um clique duplo nele ele irá executar o arquivo malicioso .exe. Esta é uma das situações onde o Controle de Conta de Usuário pode ajudar — o software malicioso ainda pode causar danos sem a necessidade de permissões de administrador, mas não será capaz de comprometer todo o seu sistema.

Pior ainda, indivíduos mal-intencionados podem usar qualquer ícone que eles quiserem para o arquivo .exe. Um arquivo chamado imagem.jpg.exe usando o ícone padrão de uma imagem pareceria uma imagem inofensiva com as configurações padrões do Windows. Enquanto o Windows irá dizer-lhe que este arquivo é um programa se você olhar com mais atenção, muitos usuários não notarão isto.

Arquivo .exe não jpeg.

Visualizando Extensões de Arquivos

Para ajudar a protegê-lo contra isso, você pode habilitar as extensões de arquivos na janela de Ajustes de Pastas do Windows Explorer. Clique no botão Organizar dentro do Windows Explorer e selecione Opções de pasta e pesquisa para abri-la.

Opções de pasta e pesquisa do Windows.

Desmarque a caixa de marcação Ocultar as extensões dos tipos de arquivos conhecidos na guia Modo de exibição e clique em OK.

Ocultar as extensões dos tipos de arquivos conhecidos Windows 8.

No Windows 8 é ainda mais simples! Dentro do Windows Explorer clique na guia Exibir, e em seguida clique em Mostrar/ocultar e marque a opção Extensões de nomes de arquivos.

Extensões de nomes de arquivos no Windows 8.

Todas as extensões de arquivos a partir de agora serão visíveis, desta forma você verá a extensão de arquivo .exe, antes oculta.

Extensão de arquivo .exe, antes oculta.

A .exe Não é a Única Extensão de Arquivo Perigosa

A extensão de arquivo .exe não é a única extensão perigosa para se prestar atenção. Arquivos terminados com as seguintes extensões de arquivos podem executar códigos no seu sistema, tornando-os perigosos, também:

.bat, .cmd, .com, .lnk, .scr, .vb, .vbe, .vbs, .wsh

Esta lista não abrange completamente tudo. Por exemplo, se você possui o Java da Oracle instalado, a extensão .jar também pode ser perigosa, pelo fato dela iniciar programas Java.

Fonte: Avast Blog,How-to-geek.