Расширения файлов помогают пользователям и операционным системам определить формат файла, а также способ обработки и интерпретации его содержимого.
Пробел после имени файла
В операционных системах Linux и macOS добавление символа пробела в конец имени файла может изменить способ, которым операционная система обрабатывает содержимое файла.
Например, при двойном щелчке файл Mach-O с именем «trojan.txt» открывается в текстовом редакторе. Однако файл с именем «trojan.txt » (обратите внимание на пробел в конце) при двойном нажатии пользователем считается исполняемым в macOS. Злоумышленники используют эту технику для создания внешне безопасных файлов любого формата, таких как документы, изображения или мультимедийные файлы, и заманивают ничего не подозревающих пользователей на выполнение вредоносной полезной нагрузки.
OSX / Бэкдор Keydnap: Эта вредоносная программа распространялась в zip-архиве, содержащем двоичный файл с именем «screenshot.jpg». Поскольку имя файла содержит символ пробела в конце, он выполнялся приложением Terminal.app. Когда пользователь дважды щелкает по нему, запускается вредоносная программа-бэкдор Keydnap.
Уязвимость WinRAR CVE-2023-38831: Уязвимость CVE-2023-38831 позволяет злоумышленникам подменять расширения файлов и прятать свои вредоносные программы в архиве под видом файлов изображений или документов. В октябре 2023 года было замечено, что злоумышленники доставляли жертвам вредоносную программу Athena Agent в архивном файле с именем «resultati_sovehchaniya_11_09_2023.rar», что переводится как «результаты встречи». Архив содержал PDF-файл и папку с идентичными именами. Однако PDF-файл имел пробел в конце расширения файла, чтобы замаскировать вредоносный CMD-скрипт под PDF-файл. Когда пользователь пытается открыть PDF-файл, уязвимость заставляет WinRAR выполнить вредоносную программу Athena Agent.