Сохранил “код безопасности” — запустил вирус: новая схема FileFix.

Новая схема FileFix: запуск вируса через сохранённый HTML-файл

Эксперт по кибербезопасности mr.d0x представил усовершенствованную атаку FileFix, позволяющую обходить защиту Windows и запускать вредоносный код без предупреждений.

Суть схемы: жертву убеждают сохранить HTML-страницу (например, с “резервными кодами MFA”) через Ctrl+S и вручную изменить расширение на .hta. Такие файлы открываются через mshta.exe, запускающий встроенные скрипты без ограничений. При этом файл не получает защитную метку MoTW, которая обычно блокирует подобные угрозы.

Метод использует старую, но всё ещё активную технологию HTML Applications. Открытие такого файла приводит к немедленному выполнению вредоносного кода — без всплывающих окон и запросов.

Ключ к успеху — социальная инженерия: злоумышленники создают убедительные фальшивые страницы, визуально копирующие официальные сайты, и подробно объясняют, как сохранить файл. Это делает атаку особенно опасной для неподготовленных пользователей.

Рекомендации по защите:

• Удалите или заблокируйте mshta.exe (C:\Windows\System32 и SysWOW64);
• Включите отображение расширений файлов в проводнике;
• Не сохраняйте HTML-страницы с подозрительных ресурсов;
• Заблокируйте получение HTML-вложений в почте.

Даже фальшивая MFA-страница может быть ловушкой. Будьте внимательны.