Вектор атаки FileFix позволяет обойти MoTW и запускать скрипты в Windows

Вектор атаки FileFix позволяет обойти MoTW и запускать скрипты в Windows

Вектор атаки FileFix позволяет обойти MoTW и запускать скрипты в Windows

Исследователь mr.d0x рассказал новые подробности вектора атаки под названием FileFix, который позволяет запускать вредоносные скрипты в Windows, обходя стандартную защиту Mark of the Web (MoTW). Всё строится на том, как браузеры сохраняют HTML-страницы.

Неделей ранее mr.d0x уже показал, как можно обмануть пользователя, заставив его вставить специальную PowerShell-команду в адресную строку Проводника Windows. Новый вариант FileFix чуть сложнее, но не менее изобретателен.

Сценарий такой: злоумышленник подсовывает жертве фишинговую страницу с инструкцией сохранить её через Ctrl+S как "Webpage, Complete", а потом переименовать файл в .hta. Почему это опасно? Потому что HTA — это устаревший, но всё ещё рабочий формат HTML-приложений, которые запускаются через встроенный в Windows mshta.exe. А главное — при сохранении страницы в этом режиме файл не получает метку MoTW, то есть Windows не покажет никаких предупреждений при запуске.

В результате — как только пользователь откроет такой файл, встроенный в него скрипт сразу выполнится. Без лишних вопросов и диалогов.

Да, такой трюк требует, чтобы человек сам сохранил файл и сменил расширение — и это, пожалуй, единственная проблема. Но если сайт сделан убедительно (например, подделка под страницу бэкапа MFA-кодов), то даже технически грамотный пользователь может повестись.

 

Что можно сделать, чтобы защититься?

  • Удалить или заблокировать mshta.exe на всех машинах (он находится в C:\Windows\System32 и C:\Windows\SysWOW64).
  • Включить отображение расширений файлов в Windows — чтобы нельзя было легко замаскировать .hta под что-то безобидное.
  • И по возможности — блокировать вложения с HTML-файлами в почте.

Казалось бы, устаревшие технологии вроде HTA уже никому не нужны. Но, как видим, старое зло ещё может выстрелить — особенно если добавить щепотку социальной инженерии.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В Питере задержаны предполагаемые наймиты мошеннических кол-центров

Киберполицейские северной столицы задержали троих жителей Пензенской области по подозрению в пособничестве зарубежным телефонным мошенникам — оказании помощи в подмене номеров при обзвонах граждан России.

Как оказалось, эта троица в поисках легкого заработка откликнулась на привлекательное предложение и, следуя инструкциям в мессенджере, получила через курьера оборудование для подмены телефонных номеров, которое потом было установлено на съемной квартире.

По условиям соглашения адрес базы еженедельно менялся. Сама работа была непыльная — регулярная замена заблокированных сим-карт; новые наемникам передавали через тайники-закладки. Оплату они получали еженедельно — около $700 в криптовалюте.

При обыске у подозреваемых изъяли два сим-банка, GSM–шлюз, ноутбук, смартфоны, 550 симок. По оценкам киберкопов, в результате им удалось нарушить работу зарубежных кол-центров, которые с помощью питерских посредников в среднем совершали 9 тыс. мошеннических звонков в сутки.

На настоящий момент установлена причастность задержанных к 50 эпизодам обмана по телефону, зафиксированным в разных регионах РФ. Уголовные дела возбуждены по признакам преступления, предусмотренного статьей 159 УК РФ (мошенничество); с фигурантов пока взяли подписку о невыезде.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru