Entender archivos maliciosos con extensiones dobles | Blog de Stewart Title
"El diablo está en los detalles", aproximadamente dicen. Hoy quiero explicar una técnica que no sirve absolutamente ningún propósito legítimo que no sea malicioso: extensión doble. En el mundo de Microsoft® Windows®, la extensión del archivo es fundamental, ya que indica qué programa abrirá el archivo. Por ejemplo, document.doc será abierto por Word, pero document.txt será abierto por el Bloc de notas. Cada extensión de archivo posible en el sistema operativo Windows tiene un programa asociado. Si no es así, Windows le preguntará qué programa utilizar. ¿Es directo hasta ahora? Es importante tener en cuenta que algunas extensiones son muy peligrosas. Un atacante que desee engañar a su víctima para que piense que está abriendo un documento legítimo (.doc) en lugar de un programa malicioso creará una extensión doble. En este ejemplo (imagen 1), el navegador web predeterminado, en lugar de Microsoft Word, abrirá el archivo adjunto "Scanned.doc.htm". Sólo las últimas tres o cuatro letras después del período más a la derecha determinan la extensión del archivo. Cualquier otro punto en el nombre del archivo son solo partes no sensoriales del nombre del archivo, que el sistema operativo ignora.
Sin embargo, este ejemplo fue un ataque relativamente benigno, ya que el delincuente estaba intentando convencer al destinatario de que el archivo adjunto era un documento de Word. Un delito más grave del mismo tipo sería si la extensión del archivo terminara con ".com" (ejecutable) o ".vbs" (script) o ".ps1" (PowerShell®). Si los abrieras, tendrías verdaderos problemas. Todas estas extensiones están asociadas con la ejecución de lo que esté dentro del archivo.
Ahora, veamos qué sucedería si no informara de esto como malicioso y, en su lugar, lo abriera. Si abriera "Scanned.doc.htm", su navegador predeterminado abriría la página (imagen 2), que no mostraría más que una página web vacía con un enlace dentro. Si hiciera clic en el enlace, acabaría en el sitio web del hisher (imagen 3) pidiéndole credenciales. (Y sí, se sabe que es un sitio de phishing).
Entonces, ¿qué hemos aprendido hoy? Si ve algún archivo adjunto con una extensión doble, elimine todo el correo electrónico inmediatamente. Nunca será legítimo.
Piense antes de hacer clic.