Новая атака FileFix позволяет выполнять вредоносные скрипты, обходя защиту Mark of the Web (MoTW) в Windows, используя способ обработки браузерами сохраненных веб-страниц HTML.
Эту технику разработал исследователь безопасности mr.d0x. На прошлой неделе исследователь продемонстрировал, как работал в качестве альтернативы атакам «ClickFix», обманывая пользователей и заставляя их вставлять замаскированную команду PowerShell в адресную строку Проводника.
Атака включает в себя фишинговую страницу, чтобы обмануть жертву и заставить ее скопировать вредоносную команду PowerShell. Как только она вставляет ее в Проводник, Windows запускает PowerShell, что делает атаку очень тонкой.
С помощью злоумышленник использует социальную инженерию, чтобы обманом заставить пользователя сохранить HTML-страницу (используя Ctrl+S) и переименовать ее в .HTA, что автоматически запускает встроенный JScript через mshta.exe.
HTML-приложения (.HTA) считаются устаревшей технологией. Этот тип файла Windows может использоваться для выполнения HTML и скриптового контента с использованием легитимного mshta.exe в контексте текущего пользователя.
Исследователь обнаружил, что когда HTML-файлы сохраняются как «Веб-страница, полная» (с типом MIME text/html), они не получают тег MoTW, что позволяет выполнять скрипты без предупреждений для пользователя.
Когда жертва открывает файл .HTA, встроенный вредоносный скрипт запускается немедленно, без какого-либо предупреждения.
Наиболее сложной частью атаки является этап социальной инженерии, когда жертву нужно обманом заставить сохранить веб-страницу и переименовать ее.
Одним из способов обойти эту проблему является разработка более эффективной приманки, например вредоносного веб-сайта, предлагающего пользователям сохранять коды многофакторной аутентификации (MFA) для сохранения будущего доступа к услуге.
На странице пользователю будет предложено нажать Ctrl+S (Сохранить как), выбрать «Веб-страница, Завершить» и сохранить файл как «MfaBackupCodes2025.hta».
Источник: mr.d0x
Хотя это требует большего взаимодействия, если вредоносная веб-страница выглядит подлинной, а пользователь не имеет глубоких знаний о расширениях файлов и предупреждениях безопасности, он все равно может попасться на эту уловку.
Эффективная стратегия защиты от этого варианта атаки FileFix — отключить или удалить двоичный файл «mshta.exe» из вашей среды (находится в C:\Windows\System32 и C:\Windows\SysWOW64).
Кроме того, рассмотрите возможность включения видимости расширений файлов в Windows и блокировки HTML-вложений в электронных письмах.
