Имя файла может содержать вторичное расширение типа файла, в результате чего отображается только первое расширение. Хотя «filename.txt.exe» может отображаться как «filename.txt» в некоторых представлениях, второе расширение - это фактический тип файла, который определяет, как файл открывается и выполняется. Таким образом, злоумышленники используют двойное расширение в имени файла для маскировки фактического типа файла.
Двойное расширение файла
В операционных системах Microsoft Windows по умолчанию установлена настройка «Скрывать расширения файлов известных типов». Авторы вредоносных программ злоупотребляют этой функцией, чтобы обманом заставить ничего не подозревающих пользователей загрузить файлы, которые кажутся легитимными, но являются опасными исполняемыми файлами. Как правило, распространенные типы файлов, такие как текстовые файлы и файлы документов (например, .txt, .doc, .pdf) и файлы изображений (например, .jpg, .png, .gif), используют первое расширение, чтобы файл выглядел доброкачественным. Опасные исполняемые расширения (например, .exe, .vbs, .com, .ps1, .dat, .hta, .htm, .js) часто указываются в качестве второго расширения и истинного типа файла. Эти файлы часто маскируются под вложения электронной почты.
- Mustang Panda: Китайская APT-группа Mustang Panda использует технику Double File Extension для доставки вредоносного ПО PlugX в виде вложения ISO-образа. ISO-образ содержит файл быстрого доступа с расширением «.doc.lnk». Поскольку .lnk является известным типом файла, он отображается как документ Office с расширением .doc. Однако при нажатии на файл .lnk запускается цепочка выполнения вредоносной программы PlugX.
- RedLine Stealer: Злоумышленники используют фишинговые письма для заражения целевых систем программой RedLine Stealer. Вредоносная программа доставляется через вложение с расширением «.pdf.htm», чтобы обмануть пользователей, представляясь легитимным PDF-файлом. Когда ничего не подозревающий пользователь открывает доброкачественный PDF-файл, вредоносное вложение перебрасывает вредоносную программу на целевую систему и внедряет шеллкод, загруженный с контролируемого злоумышленниками C2-сервера.