Vous ne pouvez pas garantir qu'un fichier est réellement une image, une vidéo, un PDF ou un fichier texte en examinant les extensions de fichier. Sous Windows, les attaquants peuvent exécuter un PDF comme s'il s'agissait d'un EXE.
C'est assez dangereux, car un fichier que vous téléchargez sur Internet, en le confondant avec un fichier PDF, peut en fait contenir un virus très dangereux. Vous êtes-vous déjà demandé comment les attaquants font cela ?
Les virus cheval de Troie expliqués
Les virus troyens tirent leur nom de l'attaque des Achéens (Grecs) dans la mythologie grecque contre la ville de Troie en Anatolie. Troie est située à l'intérieur des frontières de la ville actuelle de Çanakkale. Selon les récits, il y avait un modèle de cheval de bois construit par Ulysse, l'un des rois grecs, pour franchir les murs de la ville de Troie. Des soldats se sont cachés à l'intérieur de ce modèle et sont entrés secrètement dans la ville. Si vous vous posez la question, une copie de ce modèle de cheval se trouve encore à Çanakkale, en Turquie.
Le cheval de Troie représentait autrefois une tromperie intelligente et un exploit ingénieux de l'ingénierie. Aujourd'hui, cependant, il est considéré comme un malware numérique malveillant dont le seul but est de nuire aux ordinateurs cibles sans être détecté. Ce le virus s'appelle un cheval de Troie à cause du concept d'être non détecté et de causer du tort.
Les chevaux de Troie peuvent lire les mots de passe, enregistrer les touches sur lesquelles vous appuyez sur votre clavier ou prendre tout votre ordinateur en otage. Ils sont assez petits à cet effet et peuvent causer de graves dommages.
Qu'est-ce que la méthode RLO?
De nombreuses langues peuvent être écrites de droite à gauche, comme l'arabe, l'ourdou et le persan. De nombreux attaquants utilisent cette nature de langage pour lancer diverses attaques. Un texte significatif et sûr pour vous lorsque vous le lisez à partir de la gauche peut en fait être écrit à partir de la droite et faire référence à un fichier complètement différent. Vous pouvez utiliser la méthode RLO qui existe dans le système d'exploitation Windows pour traiter les langues de droite à gauche.
Il existe un caractère RLO pour cela dans Windows. Dès que vous utiliserez ce caractère, votre ordinateur commencera à lire le texte de droite à gauche. Les attaquants qui l'utilisent ont une bonne occasion de masquer les noms de fichiers exécutables et les extensions.
Par exemple, supposons que vous tapiez un mot anglais de gauche à droite et que ce mot soit Logiciel. Si vous ajoutez le caractère Windows RLO après la lettre T, tout ce que vous tapez après sera lu de droite à gauche. En conséquence, votre nouveau mot sera Softeraw.
Pour mieux comprendre cela, examinez le schéma ci-dessous.
Un cheval de Troie peut-il être placé dans un PDF?
Dans certaines attaques PDF malveillantes, il est possible de placer des exploits ou des scripts malveillants à l'intérieur du PDF. De nombreux outils et programmes différents peuvent le faire. De plus, il est possible de le faire en modifiant les codes existants du PDF sans utiliser de programme.
Cependant, la méthode RLO est différente. Avec la méthode RLO, les attaquants présentent un EXE existant comme s'il s'agissait d'un PDF pour tromper l'utilisateur cible. Ainsi, seule l'image de l'EXE change. L'utilisateur cible, d'autre part, ouvre ce fichier en pensant qu'il s'agit d'un PDF innocent.
Comment utiliser la méthode RLO
Avant d'expliquer comment afficher un fichier EXE au format PDF avec la méthode RLO, passez en revue l'image ci-dessous. Lequel de ces fichiers est un PDF ?
Vous ne pouvez pas le déterminer d'un coup d'œil. Au lieu de cela, Y=vous devez regarder le contenu du fichier. Mais au cas où vous vous poseriez la question, le fichier de gauche est le véritable PDF.
Cette astuce est assez facile à faire. Les attaquants écrivent d'abord du code malveillant et le compilent. Le code compilé donne une sortie au format exe. Les attaquants changent le nom et l'icône de cet EXE et transforment son apparence en PDF. Alors, comment fonctionne le processus de nommage ?
C'est là que RLO entre en jeu. Par exemple, supposons que vous ayez un EXE nommé iamsafefdp.exe. A ce stade, l'attaquant mettra un caractère RLO entre Je suis sauf et fdp.exe pour renommer le fichier. Il est assez facile de le faire sous Windows. Faites simplement un clic droit tout en renommant.
Tout ce que vous devez comprendre ici, c'est qu'une fois que Windows a vu le caractère RLO, il se lit de droite à gauche. Le fichier est toujours un EXE. Rien n'a changé. Cela ressemble à un PDF en apparence.
Après cette étape, l'attaquant va maintenant remplacer l'icône de l'EXE par une icône PDF et envoyer ce fichier à la personne ciblée.
L'image ci-dessous est la réponse à notre question précédente. L'EXE que vous voyez à droite a été créé à l'aide de la méthode RLO. En apparence, les deux fichiers sont identiques, mais leur contenu est complètement différent.
Comment se protéger de ce type d'attaque?
Comme pour de nombreux problèmes de sécurité, vous pouvez prendre plusieurs précautions avec ce problème de sécurité. La première consiste à utiliser l'option de renommage pour vérifier le fichier que vous souhaitez ouvrir. Si vous choisissez l'option de renommage, le système d'exploitation Windows sélectionnera automatiquement la zone en dehors de l'extension du fichier. Ainsi, la partie non sélectionnée sera l'extension réelle du fichier. Si vous voyez le format EXE dans la partie non sélectionnée, vous ne devez pas ouvrir ce fichier.
Vous pouvez également vérifier si un caractère masqué a été inséré à l'aide de la ligne de commande. Pour cela, il suffit Utilisez le directeur commande comme suit.
Comme vous pouvez le voir dans la capture d'écran ci-dessus, il y a quelque chose d'étrange dans le nom du fichier nommé utile. Cela indique qu'il y a quelque chose dont vous devriez vous méfier.
Prenez des précautions avant de télécharger un fichier
Comme vous pouvez le constater, même un simple fichier PDF peut faire tomber votre appareil sous le contrôle d'attaquants. C'est pourquoi vous ne devriez pas télécharger tous les fichiers que vous voyez sur Internet. Peu importe à quel point vous pensez qu'ils sont sûrs, réfléchissez toujours à deux fois.
Avant de télécharger un fichier, vous pouvez prendre plusieurs précautions. Tout d'abord, vous devez vous assurer que le site à partir duquel vous téléchargez est fiable. Vous pouvez vérifier le fichier que vous téléchargerez plus tard en ligne. Si vous êtes sûr de tout, c'est à vous de prendre cette décision.
