捷维科技 7 月 2 日消息,科技媒体 bleepingcomputer 昨日(7 月 1 日)发布博文,报道称安全研究专家 mr.d0x 披露名为 FileFix 的新型攻击手段,可以绕过 Windows 10 / Windows 11 系统中标记网络(MoTW)保护,利用浏览器保存 HTML 网页的方式执行恶意脚本。
FileFix 作为替代 ClickFix 的攻击手段,会诱骗用户将伪装的 PowerShell 命令粘贴到文件资源管理器地址栏中。
这种攻击涉及一个钓鱼页面,诱骗受害者复制一个恶意的 PowerShell 命令。一旦用户将其粘贴到文件资源管理器后,Windows 就会执行 PowerShell,让攻击非常隐蔽。
在新型的 FileFix 攻击中,攻击者会使用社会工程学手段诱骗用户保存一个 HTML 页面(使用 Ctrl+S),并将其重命名为.HTA 文件,这样就会通过 mshta.exe 自动执行嵌入的 JScript。
针对这种 FileFix 攻击变体,有效防御策略包括禁用或删除环境中的 'mshta.exe' 二进制文件(位于 C:/Windows/System32 和 C:/Windows/SysWOW64);此外,用户可以考虑在 Windows 上启用文件扩展名可见性,并阻止电子邮件中的 HTML 附件。
微信扫一扫打赏
支付宝扫一扫打赏