Az új FileFix trükk simán átveri a Windows védelmét

A legújabb FileFix módszer lehetővé teszi rosszindulatú szkriptek futtatását a Windowsban, miközben megkerüli a Mark of the Web (MoTW) védelmét. Ez kihasználja azt, ahogyan a böngészők elmentik a HTML-oldalakat. Az eljárást mr.d0x, egy biztonsági kutató dolgozta ki, aki korábban már bemutatott alternatívákat hasonló támadásokra, például a ClickFix (ClickFix) módszert is.

Mi is történik pontosan?

A támadó egy adathalász oldalt készít, amelyen keresztül ráveszi az áldozatot, hogy másoljon ki és illesszen be egy alattomos PowerShell parancsot a Fájlkezelő címsorába. Amint ezt megteszi, a Windows lefuttatja a parancsot, lényegében csendben végrehajtva a támadást.

HTA fájlok: régi trükk új köntösben

Az újabb változatban az áldozatot arra veszik rá, hogy mentsen el egy HTML-oldalt (Ctrl+S), majd nevezze át .hta kiterjesztésűre. Az .hta (HTML-alkalmazások – HTML Applications) típusú fájlok támogatják a HTML-tartalom és szkriptek futtatását az mshta.exe-n keresztül. Amikor a fájlt weblap, teljes formátumban mentik (MIME: text/html), nem kapja meg a MoTW figyelmeztetést, így a beágyazott JScript probléma nélkül lefut.

Társadalmi manipuláció: a támadás kulcsa

A legnehezebb lépés a felhasználó rábeszélése, hogy mentse el az oldalt és nevezze át. Például a támadó azt színleli, hogy többlépcsős hitelesítési kódokat (MFA) kell elmenteni, és arra utasítja a felhasználót, hogy mentse „MfaMentésiKodok2025.hta” néven (MfaBackupCodes2025.hta).

Védekezési praktikák

A leghatékonyabb védekezés az mshta.exe letiltása vagy eltávolítása a rendszerből. Érdemes bekapcsolni a fájlkiterjesztések megjelenítését, valamint blokkolni a HTML-csatolmányokat e-mailekben. Hiába fejlődnek a felhőalapú támadások, a gyanútlan felhasználókkal szemben a meglepően egyszerű trükkök még mindig működnek.

2025, adrienne, www.bleepingcomputer.com alapján