Odwracanie znaków - nowa metoda dostarczania złośliwego kodu

Cyberprzestępcy znaleźli nowy sposób ukrywania prawdziwego rozszerzenia plików, dzięki czemu mogą podsuwać użytkownikom wykonywalne pliki na pierwszy rzut oka wyglądające np. jak grafika w formacie JPG. Wykorzystywana jest do tego celu pewna specyficzna cecha standardu UNICODE.

Specjaliści z czeskiej firmy Avast poinformowali o wykryciu exploita o nazwie Unitrix, który dzięki wykorzystaniu charakterystycznego dla niektórych języków (np. arabskiego lub hebrajskiego) sposobu pisania - od prawej do lewej strony - umożliwia zamaskowanie rzeczywistego rozszerzenia pliku. Możliwe jest np. takie spreparowanie nazwy, że plik będzie wyglądał (i przedstawiał się w Windows) jako grafika JPG lub dokument DOC - mimo że tak naprawdę będzie to plik wykonywalny EXE.

Unitrix pozwala na zapisanie np. pliku gpj.exe jako photo_D18727_Coll exe.jpg (ostatnie sześć znaków nazwy zostaje odwrócone, więc użytkownikowi wydaje się, że ma do czynienia ze standardową, bezpieczną grafiką). "Większość użytkowników patrzy tylko na początek i koniec nazwy pliku - jeśli zobaczą, że kończy się ona na .jpg, zwykle uznają, że plik jest bezpieczny. W przypadku Unitrix użytkownik może się zorientować, że jest zagrożony, tylko jeśli wyświetli pełne informacje o pliku lub jeśli system poinformuje go, że otwierany plik może być potencjalnie niebezpieczny" - tłumaczy Jindrich Kubec z Avasta.

Zobacz również:

  • Wirusy na Androida - popularne i niebezpieczne zagrożenia
  • Oprogramowanie szpiegujące na Androida korzysta z luk zero-day

Przedstawiciel firmy dodał też, że exploit jest już aktywnie wykorzystywany przez cyberprzestępców - używają go oni do wprowadzenia do systemów Windows konia trojańskiego, instalującego dodatkowe złośliwe oprogramowanie. Ów trojan jest w ostatnim czasie niezwykle aktywny - Avast wykrywa średnio 25 tys. kopii dziennie. Atakowani są głównie użytkownicy biznesowi - świadczy o tym fakt, że w weekendy liczba infekcji spada nawet o 75%.

Kubec dodaje, że infekowane komputery są łączone w sieć zombiePC, która jest następnie "wypożyczana" innym grupom przestępczym do ich działań (np. wysyłania spamu, rozpowszechniania złośliwego oprogramowania lub ataków DDoS). Całą siecią zarządzają trzy główne serwery kontrolne (C&C - command-and-control), zlokalizowane w Chinach, Rosji oraz USA. Specjaliści z Avast sądzą, że trojanem zarządza grupa przestępcza z Rosji lub Ukrainy.

Jindrich Kubec podkreśla, że zabezpieczenie się przed sztuczką wykorzystywaną przez Unitrix jest niezwykle trudne - jednym ze sposobów może być uruchamianie podejrzanych plików w tzw. piaskownicy. Problem w tym, że nie wszystkie aplikacje oferują takie rozwiązanie.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200