Nový útok FileFix umožňuje spouštět škodlivé skripty při obcházení ochrany Mark of the Web (MoTW) ve Windows tím, že využívá způsob, jakým prohlížeče zpracovávají uložené HTML stránky. Tuto techniku vyvinul bezpečnostní výzkumník mr.d0x. Výzkum ukázal, jak fungovala první metoda FileFix jako alternativa k útokům ClickFix tím, že triky uživatele přiměly vložit maskovaný příkaz PowerShell do adresního řádku Průzkumníka souborů.

Útok zahrnuje phishingovou stránku, která oběť přiměje ke kopírování škodlivého příkazu PowerShell. Jakmile jej vloží do Průzkumníka souborů, Windows provede PowerShell, což činí útok velmi nenápadný.

S novým útokem FileFix by útočník použil sociální inženýrství k tomu, aby uživatele přiměl uložit HTML stránku (pomocí Ctrl+S) a přejmenovat ji na .HTA, což automaticky spustí vložený JScript prostřednictvím mshta.exe.

HTML aplikace (.HTA) jsou považovány za starou technologii. Tento typ souboru Windows může být použit k vykonání HTML a skriptovacího obsahu pomocí legitimního mshta.exe v kontextu aktuálního uživatele. Expert zjistil, že když jsou HTML soubory uloženy jako „Webová stránka, kompletní“ (s MIME typem text/html), neobdrží značku MoTW, což umožňuje spuštění skriptů bez varování pro uživatele.

Jakmile oběť otevře .HTA soubor, vložený škodlivý skript se okamžitě spustí bez jakéhokoli varování. Největší překážkou útoku je krok „sociálního inženýrství“, kde musí být oběti přiměny k uložení webové stránky a jejímu přejmenování.

Jedním ze způsobů, jak to obejít, je navrhnout účinnější návnadu, jako je škodlivá webová stránka, která uživatele vyzývá k uložení kódů vícefaktorové autentizace (MFA), aby si udrželi budoucí přístup ke službě.

Zdroj: Bleeping Computer