Um novo ataque chamado FileFix permite a execução de scripts maliciosos ao mesmo tempo que burla a proteção Mark of the Web (MoTW) no Windows, explorando a forma como os navegadores lidam com páginas da web HTML salvas.
A técnica foi desenvolvida pelo pesquisador de segurança mr.d0x.
Na semana passada, o pesquisador demonstrou como o primeiro método FileFix funcionava como uma alternativa aos ataques 'ClickFix', enganando usuários a colarem um comando PowerShell disfarçado na barra de endereços do File Explorer.
O ataque envolve uma página de phishing para enganar a vítima a copiar um comando PowerShell malicioso.
Uma vez colado no File Explorer, o Windows executa o PowerShell, tornando-se um ataque muito sutil.
Com o novo ataque FileFix, um atacante usaria engenharia social para induzir o usuário a salvar uma página HTML (usando Ctrl+S) e renomeá-la para .HTA, que executa automaticamente JScript incorporado via mshta.exe.
Aplicações HTML (.HTA) são consideradas uma tecnologia legada.
Esse tipo de arquivo do Windows pode ser usado para executar conteúdo de HTML e script usando o legítimo mshta.exe no contexto do usuário atual.
O pesquisador descobriu que, quando arquivos HTML são salvos como "Webpage, Complete" (com tipo MIME text/html), eles não recebem a tag MoTW, permitindo a execução de scripts sem alertas para o usuário.
Quando a vítima abre o arquivo .HTA, o script malicioso incorporado é executado imediatamente sem qualquer aviso.
A parte do ataque que requer maior esforço é a etapa de engenharia social, onde as vítimas precisam ser enganadas para salvar uma página da web e renomeá-la.
Um meio de contornar isso é projetando uma isca mais eficaz, como um site malicioso que instrui os usuários a salvar códigos de autenticação multifator (MFA) para manter o acesso futuro a um serviço.
A página instruiria o usuário a pressionar Ctrl+S (Salvar Como), escolher "Webpage, Complete", e salvar o arquivo como 'MfaBackupCodes2025.hta.'
Embora isso exija mais interação, se a página maliciosa parecer genuína e o usuário não tiver um entendimento profundo sobre extensões de arquivo e alertas de segurança, ele ainda pode cair no golpe.
Uma estratégia de defesa eficaz contra essa variante do ataque FileFix é desabilitar ou remover o binário 'mshta.exe' do seu ambiente (encontrado em C:\Windows\System32 e C:\Windows\SysWOW64).
Além disso, considere habilitar a visibilidade de extensão de arquivo no Windows e bloquear anexos HTML em emails.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...