[ad_1]

Les escrocs et les spammeurs informatiques abusent d’une méthode de codage peu connue qui permet de déguiser facilement des fichiers exécutables malveillants (.exe) en documents relativement inoffensifs, tels que des fichiers texte ou Microsoft Word.

Le caractère « Remplacement de droite à gauche » (RLO) est un caractère spécial dans unicode, un système de codage qui permet aux ordinateurs d’échanger des informations quelle que soit la langue utilisée. Unicode couvre tous les caractères pour tous les systèmes d’écriture du monde, modernes et anciens. Il comprend également des symboles techniques, des ponctuations et de nombreux autres caractères utilisés dans l’écriture de texte. Par exemple, un espace blanc entre deux lettres, chiffres ou symboles est exprimé en unicode par « U+0020 ».

Le caractère RLO (U+202e en unicode) est conçu pour prendre en charge les langues qui s’écrivent de droite à gauche, comme l’arabe et l’hébreu. Le problème est que ce caractère de remplacement peut également être utilisé pour rendre un fichier malveillant inoffensif.

Cette menace est ne pas nouveau, et a été connu depuis un certain temps. Mais un nombre croissant d’attaques par e-mail profitent du caractère RLO pour tromper les utilisateurs qui ont été formés pour se méfier de cliquer sur des fichiers .exe aléatoires, selon une société de sécurité Internet. Commtouch.

Prenez le fichier suivant, par exemple, qui est encodé avec le caractère RLO :

« CORP_INVOICE_08.14.2011_Pr.phylexe.doc »

Ressemble à Microsoft Word documenter, non ? C’est le leurre utilisé lors d’une attaque récente qui a téléchargé le logiciel malveillant Bredolab. Le fichier malveillant, CORP_INVOICE_08.14.2011_Pr.phyldoc.exe, a été conçu pour s’afficher comme CORP_FACTURE_08.14.2011_Pr.phylexe.doc en plaçant la commande unicode pour le remplacement de droite à gauche juste avant le « d » dans « doc ».

Je voulais voir ce travail sur mon système Windows 7, mais j’ai trouvé que je devais activer une modification du registre pour permettre l’insertion d’unicode dans les noms de fichiers. Après un redémarrage, j’ai pu renommer n’importe quel exécutable en maintenant la touche ALT enfoncée, puis en appuyant sur le signe « + » du clavier et en tapant « 202e » devant la zone ciblée tout en renommant un fichier.

Selon Commtouch, cette technique est utilisée pour dissimuler des fichiers malveillants dans une série inhabituellement agressive de spams qui se poursuivent depuis la mi-août.

« L’épidémie moyenne en 2010 s’est produite tous les 10 à 14 jours et consistait en 5 à 10 milliards de messages envoyés par des botnets », a déclaré le co-fondateur de Commtouch. Amir Lév mentionné. « La distribution de l’épidémie a maintenu suffisamment de bots en vie pour gérer [a] certain niveau d’activité malveillante.

En revanche, a déclaré Lev, les récentes épidémies de spam de logiciels malveillants ont été beaucoup plus fréquentes – parfois trois par jour. Les variantes de logiciels malveillants intégrées dans le spam incluent de nombreux robots voleurs de mots de passe utilisés dans des braquages ​​informatiques de grande envergure, tels que SpyEye et Zbot/ZeuSen plus de Sasfis et faux antivirus. Les leurres utilisés comprennent UPS notifications de colis, erreurs de carte de crédit, factures interentreprises et supposées notifications de NACHAun groupe à but non lucratif qui élabore des règles de fonctionnement pour les organisations qui gèrent les paiements électroniques, des dépôts directs de la paie aux services de paiement de factures en ligne.

Certaines applications et services de messagerie qui empêchent l’inclusion de fichiers exécutables dans les messages bloquent également les programmes .exe qui sont obscurcis par cette technique, bien que parfois avec des résultats intéressants. J’ai copié le programme qui alimente l’invite de commande Windows (cmd.exe) et je l’ai renommé avec succès afin qu’il apparaisse comme « evilexe.doc » dans Windows. Lorsque j’ai essayé de joindre le fichier à un message Gmail sortant, Google m’a envoyé l’avertissement habituel indiquant qu’il n’autorise pas les fichiers exécutables, mais le message d’avertissement lui-même était à l’envers :

« evil » cod.exe est un fichier exécutable. Pour des raisons de sécurité, Gmail ne vous permet pas d’envoyer « ce type de fichier.

Malheureusement, de nombreuses applications de messagerie n’analysent pas ou ne peuvent pas analyser de manière fiable les documents archivés et compressés, et selon Commtouch et d’autres, les fichiers malveillants manipulés de cette manière sont en effet spammés dans les archives zip.

Cette classe d’attaque est un bon rappel que rien ne remplace la prudence avec les documents et pièces jointes non sollicités qui vous sont envoyés par e-mail. Si vous recevez un message avec une pièce jointe que vous n’attendiez pas – même si elle semble provenir de quelqu’un que vous connaissez – l’option la plus sûre est de prendre une seconde et de répondre à la personne pour vérifier le contenu du message et qu’elle voulait dire pour l’envoyer.

Je n’ai pas eu l’occasion de tester cela sur d’autres systèmes d’exploitation ou clients de messagerie (bien que mon Mac ait affiché avec plaisir le fichier cmd.exe sous le nom evilexe.doc). Je serais intéressé par les commentaires de lecteurs qui ont une expérience plus large de cette approche dans la manipulation des types de fichiers.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *