Символ Right-to-Left Override (RTLO или RLO) может отображать текст, следующий за ним, в порядке справа налево. Это непечатный символ Юникода (U+202E). Символ RTLO используется для отображения текста в обратном порядке для языков, написанных справа налево.
T1036.002 Right-to-Left Override
Например, имя файла «bank_statementU+202Etxt.exe» будет отображаться на экране как «bank_statementexe.txt». Пользователи могут подумать, что это текстовый файл, но это исполняемый файл. Обратите внимание, что эта операция влияет только на визуальный вид имени файла, а реальное имя файла по-прежнему имеет расширение «.exe».
Злоумышленники используют RTLO Override, чтобы обманом заставить пользователей открыть файлы с вредоносным ПО, показывая расширение файла как доброкачественное расширение вместо исполняемого. Эта техника обычно используется вместе с техникой T1204 User Execution и T1566.001 Spearphishing Attachment.
В апреле 2023 года CERT Polska сообщила, что вредоносная программа-дроппер SnowyAmber использует технику переопределения справа налево (RLO). Операторы вредоносной программы использовали символ RTO, чтобы скрыть свою вредоносную полезную нагрузку под безобидным PDF-документом под названием «november_schedulexe.pdf». Когда ничего не подозревающие пользователи выполняют его, полезная нагрузка запускает вредоносную программу SnowyAmber с помощью техники перехвата порядка поиска DLL.
Right-to-Left Override
Символ Right-To-Left Override может использоваться для принудительного изменения направления текста вправо-влево.
Этим часто злоупотребляют хакеры для маскировки расширений файлов: при использовании этого символа в имени файла my-text.'U+202E'cod.exe имя файла на самом деле отображается как my-text.exe.doc - так что кажется, что это файл .doc, в то время как на самом деле это файл .exe.
| HTML | ‮ |
| CSS | \202E |
| Javascript, Json | \u202E |
| Unix, C, PHP, JAVA | 0x202E |