Новая атака FileFix запускает JScript, обходя оповещения Windows MoTW

Новая атака FileFix позволяет выполнять вредоносные скрипты, обходя защиту Mark of the Web (MoTW) в Windows, используя способ обработки браузерами сохраненных веб-страниц HTML.

Эту технологию разработал исследователь безопасности mr.d0x. На прошлой неделе исследователь продемонстрировал, как первый метод FileFix работал в качестве альтернативы атакам «ClickFix», обманывая пользователей и заставляя их вставлять замаскированную команду PowerShell в адресную строку Проводника.

Атака включает в себя фишинговую страницу, которая обманным путём заставляет жертву скопировать вредоносную команду PowerShell. После того, как жертва вставляет её в Проводник, Windows запускает PowerShell, что делает атаку очень скрытной.

При новой атаке FileFix злоумышленник использует социальную инженерию, чтобы обманом заставить пользователя сохранить HTML-страницу (с помощью Ctrl+S) и переименовать ее в .HTA, что автоматически запускает встроенный JScript через mshta.exe.

Приложения HTML (.HTA) считаются устаревшими технологиями. Этот тип файлов Windows может использоваться для выполнения HTML-контента и скриптов с помощью легитимного mshta.exe в контексте текущего пользователя.

Исследователь обнаружил, что когда HTML-файлы сохраняются как «Веб-страница, полная» (с типом MIME text/html), они не получают тег MoTW, что позволяет выполнять скрипты без предупреждений для пользователя.

Когда жертва открывает файл .HTA, встроенный вредоносный скрипт запускается немедленно, без какого-либо предупреждения.

Наиболее сложной частью атаки является этап социальной инженерии, на котором жертву нужно обманом заставить сохранить веб-страницу и переименовать ее.

Одним из способов решения этой проблемы является разработка более эффективной приманки, например вредоносного веб-сайта, предлагающего пользователям сохранять коды многофакторной аутентификации (MFA) для сохранения будущего доступа к услуге.

На странице пользователю будет предложено нажать Ctrl+S (Сохранить как), выбрать «Веб-страница, Завершить» и сохранить файл как «MfaBackupCodes2025.hta».

Пример вредоносной страницы
Источник: mr.d0x

Хотя это требует большего взаимодействия, если вредоносная веб-страница выглядит подлинной, а пользователь не разбирается в расширениях файлов и предупреждениях безопасности, он все равно может попасться на эту удочку.

Эффективная стратегия защиты от этого варианта атаки FileFix — отключить или удалить двоичный файл «mshta.exe» из вашей среды (находится в C:\Windows\System32 и C:\Windows\SysWOW64).

Кроме того, рассмотрите возможность включения видимости расширений файлов в Windows и блокировки HTML-вложений в электронных письмах.