การโจมตีด้วยวิธี FileFix รูปแบบใหม่ ช่วยให้ Hacker สามารถรันสคริปต์ที่เป็นอันตรายได้ในขณะที่ Bypass การป้องกัน Mark of the Web (MoTW) ใน Windows ด้วยการโจมตีจากวิธีที่เบราว์เซอร์จัดการ HTML webpage ที่ถูก saved ไว้
เทคนิคนี้ถูกคิดค้นโดยนักวิจัยด้านความปลอดภัย mr.d0x โดยนักวิจัยได้แสดงให้เห็นว่าวิธี FileFix แรกทำงานอย่างไรในฐานะทางเลือกสำหรับการโจมตีแบบ 'ClickFix' ด้วยการหลอกให้ผู้ใช้วางคำสั่ง PowerShell ลงใน File Explorer address bar
การโจมตีนี้เกี่ยวข้องกับ phishing page เพื่อหลอกล่อเหยื่อให้คัดลอกคำสั่ง PowerShell ที่เป็นอันตราย เมื่อวางคำสั่งดังกล่าวลงใน File Explorer แล้ว Windows จะดำเนินการ PowerShell ทำให้เป็นการโจมตีที่มีความซับซ้อนมาก
ด้วยการโจมตี FileFix แบบใหม่นี้ Hacker จะใช้วิธี Social Engineering เพื่อหลอกให้ผู้ใช้ saved หน้า HTML (โดยใช้ Ctrl+S) และเปลี่ยนชื่อเป็น .HTA ซึ่งจะทำการรัน JScript ที่ฝังไว้โดยอัตโนมัติผ่าน mshta.exe
HTML Applications (.HTA) ถือเป็นเทคโนโลยีเก่า โดย Windows file type นี้สามารถใช้ในการเรียกใช้เนื้อหา HTML และสคริปต์โดยใช้ mshta.exe ในบริบทของผู้ใช้ในปัจจุบัน
นักวิจัยพบว่าเมื่อ saved ไฟล์ HTML เป็น "Webpage, Complete" (ด้วย MIME type text/html) ไฟล์เหล่านั้นจะไม่ได้รับ MoTW tag ทำให้สามารถเรียกใช้สคริปต์ได้โดยไม่มีคำเตือนกับผู้ใช้
เมื่อเหยื่อเปิดไฟล์ .HTA สคริปต์อันตรายที่ฝังไว้จะทำงานทันทีโดยไม่มีการแจ้งเตือนใด ๆ
ส่วนที่ยากมากที่สุดในการโจมตีคือขั้นตอน Social Engineering ซึ่งเหยื่อจะต้องถูกหลอกให้ saved เว็บเพจ และเปลี่ยนชื่อใหม่ ซึ่งวิธีหนึ่งที่ Hacker ใช้ในการแก้ปัญหานี้คือการออกแบบเหยื่อล่อที่ได้ผลมากขึ้น เช่น เว็บไซต์อันตรายที่แจ้งให้ผู้ใช้บันทึกรหัส multi-factor authentication (MFA) เพื่อรักษาการเข้าถึงบริการในอนาคต
หน้านี้จะแนะนำให้ผู้ใช้กด Ctrl+S (Save As) เลือก " Webpage, Complete, " และบันทึกไฟล์เป็น 'MfaBackupCodes2025.hta'
แม้ว่าจะต้องมีการโต้ตอบเพิ่มเติมจากผู้ใช้งาน แต่หากเว็บเพจที่เป็นอันตรายดูเหมือนของจริง และผู้ใช้ไม่มีความเข้าใจเกี่ยวกับนามสกุลไฟล์ และคำเตือนด้านความปลอดภัย พวกเขาก็ยังอาจหลงเชื่อ และถูกโจมตีได้
การป้องกัน
กลยุทธ์การป้องกันที่มีประสิทธิภาพต่อการโจมตี FileFix ชนิดนี้คือการปิดใช้งาน หรือลบไฟล์ไบนารี 'mshta.exe' ออกจาก environment (พบได้ใน C:\Windows\System32 และ C:\Windows\SysWOW64)
นอกจากนี้ ควรพิจารณาเปิดใช้งาน file extension visibility บน Windows และการบล็อกไฟล์แนบ HTML ในอีเมล
ที่มา : bleepingcomputer
You must be logged in to post a comment.