Сохранил «код безопасности» — активировал вирус: новая схема FileFix

В Windows обнаружен новый способ обхода защиты, позволяющий запускать вредоносные скрипты без каких-либо предупреждений для пользователя. Техника под названием FileFix была усовершенствована и теперь использует уязвимость в обработке браузерами сохранённых HTML-страниц.

Атака была представлена специалистом по информационной безопасности, известным как mr.d0x. Ранее он уже показал , как работает первая версия FileFix. Тогда злоумышленники использовали фишинговую страницу, чтобы убедить жертву вставить маскированную команду PowerShell в адресную строку Проводника Windows. После вставки команда автоматически выполнялась, что делало атаку практически незаметной для пользователя.

Новый вариант FileFix оказался ещё более изощрённым. Он позволяет запускать вредоносный скрипт, обходя защиту Mark of the Web ( MoTW ), которая предназначена для блокировки запуска потенциально опасных файлов, загруженных из интернета. В рамках этой атаки злоумышленник с помощью социальной инженерии убеждает жертву сохранить HTML-страницу с помощью сочетания клавиш Ctrl+S и переименовать её расширение на .HTA. Такие файлы связаны с устаревшей, но до сих пор доступной в Windows технологией HTML Applications.

Файлы с расширением .HTA представляют собой приложения на базе HTML, которые автоматически запускаются с помощью системного компонента mshta.exe. Этот легитимный исполняемый файл позволяет выполнять HTML и встроенные скрипты с правами текущего пользователя. Именно это делает .HTA-файлы удобным инструментом для распространения вредоносного кода.

Как показал mr.d0x, при сохранении HTML-страницы с помощью браузера в формате «Webpage, Complete» (с типом MIME text/html), такая страница не получает специальную метку безопасности MoTW. Обычно MoTW автоматически добавляется к файлам, загруженным из интернета, чтобы предупредить пользователя о потенциальной угрозе и заблокировать выполнение встроенных скриптов. Отсутствие этой метки даёт злоумышленникам возможность обойти стандартные защитные механизмы системы.

После того как пользователь переименует сохранённый файл, например, в «MfaBackupCodes2025.hta», и откроет его, встроенный в файл вредоносный код немедленно выполнится без каких-либо предупреждений или запросов системы. По сути, жертва самостоятельно запускает вредоносное ПО, даже не подозревая об этом.

Наиболее сложной частью для злоумышленников остаётся этап социальной инженерии — необходимо убедить пользователя сохранить страницу и правильно изменить её расширение. Однако, как отмечает mr.d0x, этот барьер можно преодолеть, если грамотно оформить фальшивую страницу. Например, она может выглядеть как официальный сайт, предлагающий пользователю сохранить резервные коды двухфакторной аутентификации для последующего восстановления доступа к аккаунту. Страница может содержать подробные инструкции, включая просьбу нажать Ctrl+S, выбрать вариант сохранения «Webpage, Complete» и указать имя файла с расширением .HTA.

Если такая страница выглядит достаточно убедительно, а пользователь не обладает глубокими знаниями в области безопасности и не замечает расширение файла, вероятность успешного проведения атаки значительно возрастает.

В качестве примера злоумышленники могут использовать страницу с заголовком «Резервные коды MFA», где предлагается сохранить файл под именем «MfaBackupCodes2025.hta». Такой подход особенно опасен, учитывая низкий уровень технической подготовки многих пользователей.

Для защиты от подобных атак специалисты рекомендуют полностью удалить или заблокировать системный исполняемый файл mshta.exe, который находится в каталогах C:\Windows\System32 и C:\Windows\SysWOW64. Этот компонент практически не используется в повседневной работе и может быть безопасно отключён в большинстве сценариев.

Также важно включить отображение расширений файлов в настройках Windows, чтобы избежать подмены форматов. Дополнительно рекомендуется заблокировать возможность получения HTML-вложений через электронную почту и быть особенно внимательным при сохранении файлов с подозрительных сайтов.