IT之家 7 月 2 日消息,科技媒体 bleepingcomputer 昨日(7 月 1 日)发布博文,报道称安全研究专家 mr.d0x 披露名为 FileFix 的新型攻击手段,可以绕过 Windows 10 / Windows 11 系统中标记网络(MoTW)保护,利用浏览器保存 HTML 网页的方式执行恶意脚本。
FileFix 作为替代 ClickFix 的攻击手段,会诱骗用户将伪装的 PowerShell 命令粘贴到文件资源管理器地址栏中。
这种攻击涉及一个钓鱼页面,诱骗受害者复制一个恶意的 PowerShell 命令。一旦用户将其粘贴到文件资源管理器后,Windows 就会执行 PowerShell,让攻击非常隐蔽。
在新型的 FileFix 攻击中,攻击者会使用社会工程学手段诱骗用户保存一个 HTML 页面(使用 Ctrl+S),并将其重命名为.HTA 文件,这样就会通过 mshta.exe 自动执行嵌入的 JScript。
HTML 应用程序(.HTA)被视为遗留技术。这种 Windows 文件类型可以用来在当前用户上下文中执行 HTML 和脚本内容,使用合法的 mshta.exe 命令处理。
研究员发现,在 HTML 文件以“Webpage, Complete”(MIME 类型为 text / html)保存后,它们不会接收到 MoTW 标签,允许脚本在没有任何警告的情况下执行。
受害者打开.HTA 文件后,没有任何警告的情况下,嵌入的恶意脚本会立即运行。攻击中最具挑战性的部分是社会工程学步骤,需要诱骗受害者保存一个网页并重命名它。
一种绕过这种方法的方式是设计更有效的诱饵,例如恶意网站提示用户保存多因素认证(MFA)代码,以保持对服务的未来访问。
页面会指导用户按下 Ctrl+S(另存为),选择“Webpage, Complete”,并将文件保存为 'MfaBackupCodes2025.hta'。IT之家附上演示视频如下:
针对这种 FileFix 攻击变体,有效防御策略包括禁用或删除环境中的 'mshta.exe' 二进制文件(位于 C:\Windows\System32 和 C:\Windows\SysWOW64);此外,用户可以考虑在 Windows 上启用文件扩展名可见性,并阻止电子邮件中的 HTML 附件。
