Вектор атаки FileFix позволяет обойти MoTW и запускать скрипты в Windows

Вектор атаки FileFix позволяет обойти MoTW и запускать скрипты в Windows

Вектор атаки FileFix позволяет обойти MoTW и запускать скрипты в Windows

Исследователь mr.d0x рассказал новые подробности вектора атаки под названием FileFix, который позволяет запускать вредоносные скрипты в Windows, обходя стандартную защиту Mark of the Web (MoTW). Всё строится на том, как браузеры сохраняют HTML-страницы.

Неделей ранее mr.d0x уже показал, как можно обмануть пользователя, заставив его вставить специальную PowerShell-команду в адресную строку Проводника Windows. Новый вариант FileFix чуть сложнее, но не менее изобретателен.

Сценарий такой: злоумышленник подсовывает жертве фишинговую страницу с инструкцией сохранить её через Ctrl+S как "Webpage, Complete", а потом переименовать файл в .hta. Почему это опасно? Потому что HTA — это устаревший, но всё ещё рабочий формат HTML-приложений, которые запускаются через встроенный в Windows mshta.exe. А главное — при сохранении страницы в этом режиме файл не получает метку MoTW, то есть Windows не покажет никаких предупреждений при запуске.

В результате — как только пользователь откроет такой файл, встроенный в него скрипт сразу выполнится. Без лишних вопросов и диалогов.

Да, такой трюк требует, чтобы человек сам сохранил файл и сменил расширение — и это, пожалуй, единственная проблема. Но если сайт сделан убедительно (например, подделка под страницу бэкапа MFA-кодов), то даже технически грамотный пользователь может повестись.

 

Что можно сделать, чтобы защититься?

  • Удалить или заблокировать mshta.exe на всех машинах (он находится в C:\Windows\System32 и C:\Windows\SysWOW64).
  • Включить отображение расширений файлов в Windows — чтобы нельзя было легко замаскировать .hta под что-то безобидное.
  • И по возможности — блокировать вложения с HTML-файлами в почте.

Казалось бы, устаревшие технологии вроде HTA уже никому не нужны. Но, как видим, старое зло ещё может выстрелить — особенно если добавить щепотку социальной инженерии.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

«Молния» против Max: в России готовят запуск нового госмессенджера

В России готовят к запуску новый отечественный мессенджер «Молния», который должен составить конкуренцию не только иностранным приложениям, но и национальному Max от VK. Разработкой занимаются компании RedSoft и Passion Tech совместно с АО «Национальный Центр Информатизации» (НЦИ), специализирующимся на создании защищённых информационных систем для государственных структур. Релиз намечен на 4 сентября 2025 года, приложение появится в RuStore и VK Store.

По словам разработчиков, «Молния» будет соответствовать российским стандартам шифрования уровня ГОСТ-2021, хранить данные на серверах в Москве и Новосибирске, а также предложит встроенный искусственный интеллект, расширенную систему идентификации, переводы через СБП с участием российских и китайских банков, маркетплейс и поддержку бизнес-аккаунтов. На старте планируется регистрация 500 тыс. пользователей, а к концу 2026 года — рост аудитории до 15 млн.

Запуск «Молнии» происходит на фоне скандалов вокруг мессенджера Max, который ранее называли одним из главных претендентов на роль «национального мессенджера». Приложение подозревают в слежке за пользователями, передаче данных за рубеж и использовании компонентов из недружественных стран, а у разработчика отсутствуют лицензии ФСТЭК и ФСБ РФ.

При этом Max и компания «Инфотекс Интернет Траст» сообщили об успешном тестировании подключения к порталу Госуслуг через ЕСИА с использованием протокола OpenID Connect, который позволяет передавать данные между системами только с согласия пользователя. Однако ФСБ уже выдвинула обширный перечень претензий к мессенджеру: отсутствует криптозащита нужного класса и другие обязательные меры по защите персональных данных. До устранения этих недостатков речь об интеграции Max с ЕСИА не идёт.

Несмотря на это Max рекомендовано активнее внедрять в работу региональных органов власти, и не исключено, что в будущем уровень его использования будет одним из критериев оценки эффективности губернаторов. Платформа также интегрировала систему автоматического анализа кода VK Security Gate с элементами ИИ, которая отслеживает изменения и подсказывает, как улучшить код.

Таким образом, «Молния» стартует в условиях, когда позиция Max на рынке «национальных мессенджеров» остаётся неоднозначной, а конкуренция за статус главного отечественного сервиса для общения и цифровых сервисов только обостряется.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru