Mi is történik pontosan?
A támadó egy adathalász oldalt készít, amelyen keresztül ráveszi az áldozatot, hogy másoljon ki és illesszen be egy alattomos PowerShell parancsot a Fájlkezelő címsorába. Amint ezt megteszi, a Windows lefuttatja a parancsot, lényegében csendben végrehajtva a támadást.
HTA fájlok: régi trükk új köntösben
Az újabb változatban az áldozatot arra veszik rá, hogy mentsen el egy HTML-oldalt (Ctrl+S), majd nevezze át .hta kiterjesztésűre. Az .hta (HTML-alkalmazások – HTML Applications) típusú fájlok támogatják a HTML-tartalom és szkriptek futtatását az mshta.exe-n keresztül. Amikor a fájlt weblap, teljes formátumban mentik (MIME: text/html), nem kapja meg a MoTW figyelmeztetést, így a beágyazott JScript probléma nélkül lefut.
Társadalmi manipuláció: a támadás kulcsa
A legnehezebb lépés a felhasználó rábeszélése, hogy mentse el az oldalt és nevezze át. Például a támadó azt színleli, hogy többlépcsős hitelesítési kódokat (MFA) kell elmenteni, és arra utasítja a felhasználót, hogy mentse „MfaMentésiKodok2025.hta” néven (MfaBackupCodes2025.hta).
Védekezési praktikák
A leghatékonyabb védekezés az mshta.exe letiltása vagy eltávolítása a rendszerből. Érdemes bekapcsolni a fájlkiterjesztések megjelenítését, valamint blokkolni a HTML-csatolmányokat e-mailekben. Hiába fejlődnek a felhőalapú támadások, a gyanútlan felhasználókkal szemben a meglepően egyszerű trükkök még mindig működnek.
