FileFix攻击被披露：绕过Win10/Win11 MoTW防护，隐蔽执行恶意代码

FileFix攻击被披露：绕过Win10/Win11 MoTW防护，隐蔽执行恶意代码

7月2日消息，科技媒体 bleepingcomputer 昨日（7月1日）发布博文，报道称安全研究专家 mr.d0x 披露名为 FileFix 的新型攻击手段，可以绕过 Windows 10 / Windows 11 系统中标记网络（MoTW）保护，利用浏览器保存 HTML 网页的方式执行恶意脚本。

FileFix 作为替代 ClickFix 的攻击手段，会诱骗用户将伪装的 PowerShell 命令粘贴到文件资源管理器地址栏中。

这种攻击涉及一个钓鱼页面，诱骗受害者复制一个恶意的 PowerShell 命令。一旦用户将其粘贴到文件资源管理器后，Windows 就会执行 PowerShell，让攻击非常隐蔽。

在新型的 FileFix 攻击中，攻击者会使用社会工程学手段诱骗用户保存一个 HTML 页面（使用 Ctrl+S），并将其重命名为.HTA 文件，这样就会通过 mshta.exe 自动执行嵌入的 JScript。
 
HTML 应用程序（.HTA）被视为遗留技术。这种 Windows 文件类型可以用来在当前用户上下文中执行 HTML 和脚本内容，使用合法的 mshta.exe 命令处理。
 
研究员发现，在 HTML 文件以“Webpage, Complete”（MIME 类型为 text / html）保存后，它们不会接收到 MoTW 标签，允许脚本在没有任何警告的情况下执行。
受害者打开.HTA 文件后，没有任何警告的情况下，嵌入的恶意脚本会立即运行。攻击中最具挑战性的部分是社会工程学步骤，需要诱骗受害者保存一个网页并重命名它。

一种绕过这种方法的方式是设计更有效的诱饵，例如恶意网站提示用户保存多因素认证（MFA）代码，以保持对服务的未来访问。

页面会指导用户按下 Ctrl+S（另存为），选择“Webpage, Complete”，并将文件保存为 'MfaBackupCodes2025.hta'。4分贝附上演示视频如下：
  针对这种 FileFix 攻击变体，有效防御策略包括禁用或删除环境中的 'mshta.exe' 二进制文件（位于 C:\Windows\System32 和 C:\Windows\SysWOW64）；此外，用户可以考虑在 Windows 上启用文件扩展名可见性，并阻止电子邮件中的 HTML 附件。