新的 FileFix 攻击可运行 JScript 并绕过 Windows MoTW 警报

新的 FileFix 攻击利用浏览器处理已保存的 HTML 网页的方式，允许执行恶意脚本，同时绕过 Windows 中的 Web 标记 (MoTW) 保护。

该技术是由安全研究员 mr.d0x 设计的，上周，该研究员展示了第一种 FileFix 方法如何作为“ClickFix”攻击的替代方案，即诱骗用户将伪装的 PowerShell 命令粘贴到文件资源管理器地址栏中。

此次攻击利用钓鱼页面诱骗受害者复制恶意的 PowerShell 命令。一旦受害者将命令复制到文件资源管理器中，Windows 就会执行该 PowerShell 命令，从而构成一次非常隐蔽的攻击。

通过新的 FileFix 攻击，攻击者会利用社会工程学诱骗用户保存 HTML 页面（使用 Ctrl+S）并将其重命名为 .HTA，然后通过 mshta.exe 自动执行嵌入的 JScript。

HTML 应用程序 (.HTA) 被视为遗留技术。此 Windows 文件类型可用于在当前用户上下文中使用合法的 mshta.exe 执行 HTML 和脚本内容。

研究人员发现，当 HTML 文件保存为“网页，完整版”（MIME 类型为 text/html）时，它们不会收到 MoTW 标签，从而允许脚本执行而不会向用户发出警告。

当受害者打开 .HTA 文件时，嵌入的恶意脚本会立即运行，而不会发出任何警告。

攻击中最棘手的部分是社会工程学步骤，受害者需要被诱骗保存网页并重命名。

解决此问题的一种方法是设计更有效的诱饵，例如恶意网站提示用户保存多因素身份验证 (MFA) 代码以维持将来对服务的访问。

该页面会指示用户按 Ctrl+S（另存为），选择“网页，完成”，然后将文件保存为“MfaBackupCodes2025.hta”。

恶意页面示例

来源：mr.d0x

尽管这需要更多的交互，但如果恶意网页看起来是真实的，并且用户对文件扩展名和安全警告没有深入的了解，他们仍然可能会上当受骗。

针对此 FileFix 攻击变体的有效防御策略是从您的环境中禁用或删除“mshta.exe”二进制文件（位于 C:WindowsSystem32 和 C:WindowsSysWOW64）。

此外，考虑在 Windows 上启用文件扩展名可见性并阻止电子邮件上的 HTML 附件。