Um novo ataque do FileFix permite executar scripts maliciosos enquanto ignora a proteção Mark of the Web (MoTW) no Windows, explorando como os navegadores lidam com páginas HTML salvas.
A técnica foi criada pelo pesquisador de segurança mr.d0x. Na semana passada, o pesquisador mostrou como o primeiro método FileFix funcionava como uma alternativa aos ataques ‘ClickFix’, enganando os usuários e fazendo-os colar um comando disfarçado do PowerShell na barra de endereços do Explorador de Arquivos.
O ataque envolve uma página de phishing para induzir a vítima a copiar um comando malicioso do PowerShell. Depois que a vítima o insere no Explorador de Arquivos, o Windows executa o PowerShell, tornando-se um ataque bastante sutil.
Com o novo ataque FileFix , um invasor usaria engenharia social para enganar o usuário e fazê-lo salvar uma página HTML (usando Ctrl+S) e renomeá-la para .HTA, que executa automaticamente o JScript incorporado via mshta.exe.
Aplicativos HTML (.HTA) são considerados tecnologia legada. Este tipo de arquivo do Windows pode ser usado para executar HTML e conteúdo de script usando o arquivo legítimo mshta.exe no contexto do usuário atual.
O pesquisador descobriu que quando arquivos HTML são salvos como “Página da Web, Completa” (com tipo MIME text/html), eles não recebem a tag MoTW, permitindo a execução do script sem avisos ao usuário.
Quando a vítima abre o arquivo .HTA, o script malicioso incorporado é executado imediatamente, sem nenhum aviso.
A parte de maior atrito do ataque é a etapa de engenharia social, em que as vítimas precisam ser enganadas para salvar uma página da web e renomeá-la.
Uma maneira de contornar isso é criar uma isca mais eficaz, como um site malicioso que solicite que os usuários salvem códigos de autenticação multifator (MFA) para manter o acesso futuro a um serviço.
A página instruiria o usuário a pressionar Ctrl+S (Salvar como), escolher “Página da Web, Concluído” e salvar o arquivo como ‘MfaBackupCodes2025.hta’.
Embora isso exija mais interação, se a página maliciosa parecer genuína e o usuário não tiver um conhecimento profundo sobre extensões de arquivo e avisos de segurança, ele ainda poderá cair nela.
Uma estratégia de defesa eficaz contra essa variante do ataque FileFix é desabilitar ou remover o binário ‘mshta.exe’ do seu ambiente (encontrado em C:\Windows\System32 e C:\Windows\SysWOW64).
Além disso, considere habilitar a visibilidade da extensão de arquivo no Windows e bloquear anexos HTML em e-mails.
