Skip to content

When Nothing Goes Right, go Left

Right-To-Left-Character (RTLC) är ett tecken man som användare inte springer på så ofta. Det är ett osynligt tecken som så många andra tecken i datorvärlden, som t.ex. tecknet för ny rad. Nyttjandet av tecknet har dock blivit en vanlig attack, främst när det kommer till malware. I detta inlägg visar jag hur attacken kan gå till och går igenom vad du som användare kan tänka på. 

RTLC är ett tecken som vanligtvis används där språk läses från höger till vänster, så som arabiska eller hebreiska. Detta tecken gör med andra ord att bokstäverna byter håll, dvs de läses från höger till vänster istället för vänster till höger, som vi annars är vana vid. Det är med andra ord inget nytt tecken, men som på senare dar har blivit populärt att använda för att lura användare.


Nedan följer ett exempel på hur detta tecken beter sig i en text.


Om vi utgår från en helt vanlig omanipulerad mening, dvs utan RTLC ser den ut såhär:

Här har vi en lång mening som exempel för att visa hur RTLC fungerar i praktiken


Om vi lägger till ett RTLC i mitten av mening så kan den se ut såhär:

Här har vi en lång mening som exempel nekitkarp i raregnuf CLTR ruh asiv tta röf


Nedan är unicode-tecknet för RTLC utskrivet, [U+202E], för att tydliggöra var i meningen det är infogat:

Här har vi en lång mening som exempel [U+202E] nekitkarp i raregnuf CLTR ruh asiv tta röf


Som ni ser så blir halva meningen baklänges.

Nyttjandet av detta har blivit en vanlig attack när det kommer till malware och den är speciellt förekommande för bifogade dokument i epost. Det gör att användare öppnar ett bifogat dokument som man kanske tror är en PDF men i själva verket är en körbar/exekverbar fil (.exe).


Exempel på detta nedan:


Omodifierad installationsfil för Firefox. (Notera filändelsen .exe)

Blogginlägg_RTLC

Om vi lägger till RTLC och döper om filen till Firefox Installer.[U+202E]fdp.exe kommer den se ut såhär med filändelse påslaget i Windows:

Blogginlägg_RTLC2

Nedan är bild på Firefoxinstaller med RTLC i namnet men utan filändelse påslaget i Windows:

Blogginlägg_RTLC3

Det sista exemplet utan filändelse påslåget är riktigt lurigt. Självklart går det även att byta ut ikonen, men jag har valt att behålla den i exemplet för att visa att det fortfarande är samma fil även om namnet bytts ut. I detta exempel skulle filen haft en PDF-ikon för att bli riktigt lurig för en användare att upptäcka.


Vad kan du som användare tänka på?

1. Jämför storleken på filen och vad den förväntade storleken är. Är det ett vanligt textdokument som skickas men som har en otroligt stor storlek? Då kanske det är något lurt på gång med filen.

2. Slå på att visa filändelser för alla filer. Även om filändelsen står på “rätt” ställe, så kommer filnamnet se konstig ut med filändelser påslagna, som i exemplet ovan. Se exempel nedan på hur filändelser slås på i Windows. Bilden är hämtad från Utforskaren i Visa-menyn: 

3. Kolla egenskaper för filen. Notera fältet Filptyp. I detta fall är filändelsen .pdf, medan filtypen säger Program (.exe).