Νέα επίθεση FileFix παρακάμπτει τις ειδοποιήσεις MoTW των Windows
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Νέα επίθεση FileFix παρακάμπτει τις ειδοποιήσεις MoTW των Windows
https://www.secnews.gr/652691/nea-epithesi-filefix-parakamptei-eidopoihseis-motw/
Jul 2nd 2025, 15:37
by Absenta Mia
Μια νέα επίθεση τύπου FileFix επιτρέπει την εκτέλεση κακόβουλων σεναρίων, παρακάμπτοντας την προστασία Mark of the Web (MoTW) στα Windows, εκμεταλλευόμενη τον τρόπο με τον οποίο οι browsers αποθηκεύουν ιστοσελίδες HTML.
Δείτε επίσης: Qantas: Κυβερνοεπίθεση οδήγησε σε παραβίαση δεδομένων
Η τεχνική αυτή αναπτύχθηκε από τον ερευνητή ασφαλείας mr.d0x. Την περασμένη εβδομάδα, ο ερευνητής παρουσίασε πώς λειτουργεί η αρχική μέθοδος FileFix ως εναλλακτική προσέγγιση των επιθέσεων τύπου ClickFix, παραπλανώντας τους χρήστες ώστε να επικολλήσουν μια μεταμφιεσμένη εντολή PowerShell στη γραμμή διευθύνσεων του File Explorer.
Η επίθεση περιλαμβάνει μια phishing ιστοσελίδα, η οποία ξεγελά το θύμα ώστε να αντιγράψει μια κακόβουλη εντολή PowerShell. Μόλις την επικολλήσει στον File Explorer, τα Windows εκτελούν την εντολή PowerShell, καθιστώντας την επίθεση ιδιαίτερα διακριτική.
Με τη νέα παραλλαγή της επίθεσης FileFix, που παρακάμπτει το MoTW, ο επιτιθέμενος χρησιμοποιεί τεχνικές social engineering για να πείσει το χρήστη να αποθηκεύσει μια HTML σελίδα (μέσω Ctrl+S) και να την μετονομάσει σε .HTA. Το αρχείο αυτό εκτελεί αυτόματα ενσωματωμένο κώδικα JScript μέσω του mshta.exe.
Οι εφαρμογές HTML (.HTA) θεωρούνται πλέον ξεπερασμένη τεχνολογία. Ωστόσο, αυτός ο τύπος αρχείου στα Windows μπορεί να χρησιμοποιηθεί για την εκτέλεση HTML και script περιεχομένου με χρήση του νόμιμου mshta.exe, υπό τα δικαιώματα του τρέχοντος χρήστη.
Δείτε ακόμα: Νέα επίθεση C4 παρακάμπτει την κρυπτογράφηση cookie AppBound
Ο ερευνητής ανακάλυψε ότι όταν αρχεία HTML αποθηκεύονται ως "Ιστοσελίδα, Πλήρης" (με MIME τύπο text/html), δεν λαμβάνουν την ετικέτα MoTW, επιτρέποντας έτσι την εκτέλεση σεναρίων χωρίς προειδοποιήσεις προς τον χρήστη. Όταν το θύμα ανοίξει το αρχείο .HTA, το ενσωματωμένο κακόβουλο script εκτελείται αμέσως, χωρίς καμία ειδοποίηση.
Νέα επίθεση FileFix παρακάμπτει τις ειδοποιήσεις MoTW των Windows
Το πιο δύσκολο και κρίσιμο σημείο της επίθεσης είναι το στάδιο του social engineering, κατά το οποίο το θύμα πρέπει να πειστεί να αποθηκεύσει μια ιστοσελίδα και να τη μετονομάσει.
Ένας τρόπος για να παρακαμφθεί αυτό το εμπόδιο είναι η δημιουργία ενός πιο πειστικού δολώματος, όπως μια κακόβουλη ιστοσελίδα που προτρέπει τους χρήστες να αποθηκεύσουν κωδικούς εφεδρικής επαλήθευσης (MFA), υποτίθεται για να διασφαλίσουν μελλοντική πρόσβαση σε μια υπηρεσία.
Η σελίδα θα δίνει οδηγίες στον χρήστη να πατήσει Ctrl+S (Αποθήκευση ως), να επιλέξει "Ιστοσελίδα, Πλήρης" και να αποθηκεύσει το αρχείο με όνομα 'MfaBackupCodes2025.hta'.
Αν και η επίθεση FileFix που παρακάμπτει το MoTW, απαιτεί περισσότερη αλληλεπίδραση από τον χρήστη, εάν η κακόβουλη ιστοσελίδα φαίνεται αξιόπιστη και ο χρήστης δεν έχει επαρκή γνώση γύρω από τις καταλήξεις αρχείων και τις προειδοποιήσεις ασφαλείας, υπάρχει μεγάλη πιθανότητα να εξαπατηθεί.
Δείτε επίσης: Το Microsoft Defender αποκλείει πλέον επιθέσεις email bombing
Μια αποτελεσματική στρατηγική άμυνας ενάντια σε αυτήν την παραλλαγή της επίθεσης FileFix είναι η απενεργοποίηση ή η πλήρης αφαίρεση του αρχείου 'mshta.exe' από το σύστημά σας. Επιπλέον, συνιστάται να ενεργοποιήσετε την προβολή των καταλήξεων αρχείων στα Windows και να αποκλείετε συνημμένα HTML αρχεία στα email.
Πηγή: bleepingcomputer
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Νέα επίθεση FileFix παρακάμπτει τις ειδοποιήσεις MoTW των Windows
https://www.secnews.gr/652691/nea-epithesi-filefix-parakamptei-eidopoihseis-motw/
Jul 2nd 2025, 15:37
by Absenta Mia
Μια νέα επίθεση τύπου FileFix επιτρέπει την εκτέλεση κακόβουλων σεναρίων, παρακάμπτοντας την προστασία Mark of the Web (MoTW) στα Windows, εκμεταλλευόμενη τον τρόπο με τον οποίο οι browsers αποθηκεύουν ιστοσελίδες HTML.
Δείτε επίσης: Qantas: Κυβερνοεπίθεση οδήγησε σε παραβίαση δεδομένων
Η τεχνική αυτή αναπτύχθηκε από τον ερευνητή ασφαλείας mr.d0x. Την περασμένη εβδομάδα, ο ερευνητής παρουσίασε πώς λειτουργεί η αρχική μέθοδος FileFix ως εναλλακτική προσέγγιση των επιθέσεων τύπου ClickFix, παραπλανώντας τους χρήστες ώστε να επικολλήσουν μια μεταμφιεσμένη εντολή PowerShell στη γραμμή διευθύνσεων του File Explorer.
Η επίθεση περιλαμβάνει μια phishing ιστοσελίδα, η οποία ξεγελά το θύμα ώστε να αντιγράψει μια κακόβουλη εντολή PowerShell. Μόλις την επικολλήσει στον File Explorer, τα Windows εκτελούν την εντολή PowerShell, καθιστώντας την επίθεση ιδιαίτερα διακριτική.
Με τη νέα παραλλαγή της επίθεσης FileFix, που παρακάμπτει το MoTW, ο επιτιθέμενος χρησιμοποιεί τεχνικές social engineering για να πείσει το χρήστη να αποθηκεύσει μια HTML σελίδα (μέσω Ctrl+S) και να την μετονομάσει σε .HTA. Το αρχείο αυτό εκτελεί αυτόματα ενσωματωμένο κώδικα JScript μέσω του mshta.exe.
Οι εφαρμογές HTML (.HTA) θεωρούνται πλέον ξεπερασμένη τεχνολογία. Ωστόσο, αυτός ο τύπος αρχείου στα Windows μπορεί να χρησιμοποιηθεί για την εκτέλεση HTML και script περιεχομένου με χρήση του νόμιμου mshta.exe, υπό τα δικαιώματα του τρέχοντος χρήστη.
Δείτε ακόμα: Νέα επίθεση C4 παρακάμπτει την κρυπτογράφηση cookie AppBound
Ο ερευνητής ανακάλυψε ότι όταν αρχεία HTML αποθηκεύονται ως "Ιστοσελίδα, Πλήρης" (με MIME τύπο text/html), δεν λαμβάνουν την ετικέτα MoTW, επιτρέποντας έτσι την εκτέλεση σεναρίων χωρίς προειδοποιήσεις προς τον χρήστη. Όταν το θύμα ανοίξει το αρχείο .HTA, το ενσωματωμένο κακόβουλο script εκτελείται αμέσως, χωρίς καμία ειδοποίηση.
Νέα επίθεση FileFix παρακάμπτει τις ειδοποιήσεις MoTW των Windows
Το πιο δύσκολο και κρίσιμο σημείο της επίθεσης είναι το στάδιο του social engineering, κατά το οποίο το θύμα πρέπει να πειστεί να αποθηκεύσει μια ιστοσελίδα και να τη μετονομάσει.
Ένας τρόπος για να παρακαμφθεί αυτό το εμπόδιο είναι η δημιουργία ενός πιο πειστικού δολώματος, όπως μια κακόβουλη ιστοσελίδα που προτρέπει τους χρήστες να αποθηκεύσουν κωδικούς εφεδρικής επαλήθευσης (MFA), υποτίθεται για να διασφαλίσουν μελλοντική πρόσβαση σε μια υπηρεσία.
Η σελίδα θα δίνει οδηγίες στον χρήστη να πατήσει Ctrl+S (Αποθήκευση ως), να επιλέξει "Ιστοσελίδα, Πλήρης" και να αποθηκεύσει το αρχείο με όνομα 'MfaBackupCodes2025.hta'.
Αν και η επίθεση FileFix που παρακάμπτει το MoTW, απαιτεί περισσότερη αλληλεπίδραση από τον χρήστη, εάν η κακόβουλη ιστοσελίδα φαίνεται αξιόπιστη και ο χρήστης δεν έχει επαρκή γνώση γύρω από τις καταλήξεις αρχείων και τις προειδοποιήσεις ασφαλείας, υπάρχει μεγάλη πιθανότητα να εξαπατηθεί.
Δείτε επίσης: Το Microsoft Defender αποκλείει πλέον επιθέσεις email bombing
Μια αποτελεσματική στρατηγική άμυνας ενάντια σε αυτήν την παραλλαγή της επίθεσης FileFix είναι η απενεργοποίηση ή η πλήρης αφαίρεση του αρχείου 'mshta.exe' από το σύστημά σας. Επιπλέον, συνιστάται να ενεργοποιήσετε την προβολή των καταλήξεων αρχείων στα Windows και να αποκλείετε συνημμένα HTML αρχεία στα email.
Πηγή: bleepingcomputer
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz