Cyberprzestępcy rozpowszechniając złośliwe oprogramowanie często stosują różne sztuczki, aby docelowa ofiara uruchomiła niebezpieczny plik. Często spotykaną metodą jest stosowanie nazwy pliku, która sugeruje, iż jest to inne rozszerzenie niż w rzeczywistości. Jest to skuteczne, o ile użytkownik ma włączoną opcję "Ukryj rozszerzenia znanych typów plików". Należy nadmienić, iż rozszerzenia są domyślnie ukryte w systemie Windows.

W dniu dzisiejszym na naszą skrzynkę trafiła wiadomość spam dotycząca rzekomych płatności. Email o temacie PLATNOSC ZA CZERWIEC zawiera załącznik o nazwie potwierdzeniedokumenty.rar.
Wiadomość rzekomo pochodzi od nieznanej firmy, a w treści znajduje się prośba o weryfikację otrzymania płatności. Całość maila napisana jest niestarannie, bez użycia polskich znaków. Jednak jeśli ktoś otrzymuje dużo faktur, potwierdzeń płatności lub prowadzi działalność może nie zastanawiać się nad treścią wiadomości i chcieć zweryfikować rzekome potwierdzenie. Jak się później okaże, załącznik nie zawiera żadnego potwierdzenia płatności. W archirum RAR znajdują się złośliwe pliki, których uruchomienie skutkuje infekcją systemu złośliwym oprogramowaniem.

Wiadomość spam:
SPAM

Jeśli otrzymałeś podobną lub inną podejrzaną wiadomość lub załącznik możesz przesłać je za pośrednictwem strony ZGŁOŚINCYDENT.

Poniżej możecie zobaczyć jak wygląda załącznik po pobraniu go. Jest to archiwum RAR.

RAR

Po rozpakowaniu archiwum otrzymujemy dwa pliki o nazwach POTWIERDZENIEPRZELEWUpdfpotwierdzenie_zamowienia.pdf. Ich nazwy mogą wskazywać, że tak jak to wynikało z treści maila są to potwierdzenia przelewu, jaki rzekomo mieliśmy otrzymać. Ikonki plików natomiast wskazują, że potwierdzenie jest w formacie PDF, poza tym na końcu nazwy plików pojawia się "pdf".
Tak to wygląda, jeśli na swoim komputerze macie zaznaczoną opcję ukrywania rozszerzeń plików. Co ważne, domyślnie ta opcja jest włączona, więc zapewne znaczna część użytkowników, pliki z załącznika zobaczyłaby dokładnie tak, jak jest to widoczne poniżej.

Pliki_bez_rozszerzenia

W systemie Windows domyślnie włączona jest opcja Ukryj rozszerzenia znanych typów plików. W przypadku takiej wiadomości spam może ona spowodować, że omylnie uznamy pliki przesłane w wiadomości email jako dokumenty PDF. Aby ją wyłączyć należy udać się do opcji folderów i w zakładce widok odznaczyć stosowną opcję.

Opcje

Gdy spojrzymy na pliki przesłane w wiadomości zobaczymy, że jeden z nich ma rozszerzenie PDF, a drugi EXE. O ile potwierdzenie przelewu w formacie EXE jest dla nas oczywistą próbą oszustwa, to plik PDF już nie (co nie znaczy, że poprzez dokument PDF nie da się zainfekować komputera).

Pliki_z_rozszerzeniem

W rzeczywistości jednak oba są plikami wykonalnymi EXE. Jak to się dzieje? Cyberprzestępcy zastosowali znaną, choć niezbyt często stosowaną metodę użycia znaku "Right-to-Left Override” (Kod: U+202E), który odwraca wprowadzony tekst.

Jeśli podglądniemy właściwości rzekomego pliku PDF możemy zobaczyć, że typ pliku to aplikacja (.exe).

Więcej o tej sztuczce możesz przeczytać w tym ARTYKULE.

Wlasciwosci_pliku-1

Czemu zatem przestępcy przesłali w archiwum dwa złośliwe pliki, które są takie same, tylko posiadają inne nazwy? Prawdopodobnie może to być pomyłka przestępców, bądź przygotowanie do większej kampanii spam.

Jeśli pobierzecie na swój komputer załącznik z maila oraz uruchomicie znajdujący się w archiwum plik wykonywalny, to zainfekujecie swój komputer złośliwym oprogramowaniem. W ten sposób cyberprzestępcy będą mogli przejąć nad nim kontrolę, obserwować Twoje działania lub wykraść Twoje poufne dane, które następnie wykorzystają w swojej dalszej działalności przestępczej.

Niebezpieczne rozszerzenia plików

Istnieje wiele rozszerzeń plików, które stanowią potencjalne zagrożenie infekcją systemu operacyjnego. Poniżej przygotowaliśmy przykładowe rozszerzenia plików, które mogą być niebezpieczne. Jeśli otrzymacie pliki z takim rozszerzeniem w wiadomości email należy zachować szczególną ostrożność, a najlepiej ich nie otwierać. Należy nadmienić, że choć nie zostały wymienione jakże popularne formaty plików jak PDF oraz DOC, które są często wykorzystywane w komunikacji mailowej, to przestępcy mogą zainfekować Wasz komputer również za ich pomocą.

Niebezpieczne_pliki

Podsumowanie

Zalecamy, abyście na swoich komputerach odznaczyli domyślną opcję ukrywania rozszerzeń plików. Dzięki temu zawsze będziecie widzieli prawdziwe rozszerzenia wszystkich plików. Oczywiście najlepiej jest nie uruchamiać plików pochodzących z wątpliwych źródeł, np. załączniki z podejrzanych wiadomości email oraz plików o nieznanych Wam rozszerzeniach.