FileFix es una técnica de ataque emergente que aprovecha la forma en que Windows y los navegadores web gestionan el proceso de guardado de páginas web HTML, evadiendo eficazmente las medidas de seguridad integradas de Windows. Si se ejecuta correctamente, este método puede provocar graves brechas de seguridad, como la implementación de ransomware, el robo de credenciales y la instalación de diversos tipos de malware. En esta guía completa, exploraremos las estrategias clave para proteger su equipo contra posibles amenazas de FileFix.
Comprender la mecánica de un ataque FileFix
Descubierto por el experto en seguridad mr.d0x, el ataque FileFix manipula la gestión de archivos HTML locales de aplicaciones y la función de seguridad Marca de la Web (MoTW) de Windows. Cuando los usuarios utilizan la opción «Guardar como» en una página web, los navegadores suelen omitir la etiqueta con MoTW, cuyo objetivo es alertar a sistemas de seguridad como Windows Security para que analicen el archivo en busca de contenido malicioso.
Además, cuando un archivo se guarda con la extensión.hta (archivo de aplicación HTML), puede ejecutarse inmediatamente en la cuenta de usuario actual sin pasar por comprobaciones de seguridad. Un sitio web malicioso puede engañar a los usuarios para que lo guarden como archivo.hta, lo que permite que el código malicioso insertado se ejecute al abrir el archivo, evadiendo la detección de los sistemas de seguridad de Windows.
Si bien persuadir a los usuarios para que guarden un archivo malicioso es inherentemente difícil, se pueden emplear tácticas similares a las empleadas por EDDIESTEALER. Esto incluye métodos de ingeniería social que manipulan a los usuarios para que guarden información confidencial, como códigos MFA, con extensiones.hta engañosas.
Existen numerosas medidas preventivas que pueden bloquear este vector de ataque eficazmente. A continuación, se presentan varias estrategias clave.
Manténgase alejado de páginas web sospechosas
El primer paso en el ataque FileFix consiste en guardar una página web maliciosa; por lo tanto, evitar estos sitios por completo previene el ataque. Utilice siempre navegadores actualizados como Chrome, Edge o Firefox, que incorporan funciones de detección de phishing y protección contra malware. En Google Chrome, habilitar la Protección Mejorada puede proporcionar detección de amenazas en tiempo real basada en IA.
Muchos sitios maliciosos se propagan mediante correos electrónicos de phishing que se hacen pasar por fuentes legítimas. Identificar estos correos es crucial, y evitar interactuar con ellos puede reducir significativamente el riesgo de ser víctima de diversas ciberamenazas. Si por accidente accede a un sitio sospechoso, existen métodos eficaces para evaluar su legitimidad.
Visibilidad de las extensiones de archivo en Windows
En Windows 11, las extensiones de archivo están ocultas por defecto, lo que provoca que los usuarios pasen por alto los cambios de.html a.hta. Para evitarlo, se recomienda hacer visibles las extensiones de archivo, lo que garantiza que los usuarios puedan reconocer el tipo de archivo real, independientemente de cualquier nombre engañoso.
Para habilitar la visibilidad de las extensiones de archivo, siga estos pasos:
- Abra el Explorador de archivos.
- Pulse el botón Ver más (tres puntos) y seleccione Opciones.
- Vaya a la pestaña Ver y desmarque la casilla Ocultar extensiones para tipos de archivos conocidos.
Con este cambio, las extensiones de archivo se mostrarán, incluso dentro de la ventana de descarga al guardar una página web.
Establecer el Bloc de notas como programa predeterminado para archivos.hta
Mshta es la aplicación predeterminada encargada de ejecutar los archivos.hta. Al reasignar la asociación del archivo.hta al Bloc de notas, estos archivos se abrirán como documentos de texto en lugar de ejecutar scripts, lo que evita la ejecución de contenido potencialmente dañino.
Es poco probable que este ajuste afecte a los usuarios generales, ya que los scripts hta son utilizados principalmente por profesionales de TI o para aplicaciones empresariales específicas. Para implementar este cambio, realice lo siguiente:
- Acceda a la Configuración de Windows y navegue a Aplicaciones -> Aplicaciones predeterminadas.
- En la barra de búsqueda, bajo Establecer un valor predeterminado para un tipo de archivo o tipo de enlace, escriba “.hta”.
Deshabilitar Mshta para evitar la ejecución de HTML
Un método preventivo adicional consiste en deshabilitar completamente la aplicación Mshta para impedir la ejecución de scripts.hta. Esto se puede lograr renombrando el archivo «mshta.exe» a «mshta.exe.disabled».Para realizar este cambio, los usuarios deben asegurarse de que las extensiones de archivo sean visibles.
Localice el archivo Mshta en los directorios «C:\Windows\System32» y «C:\Windows\SysWOW64», cambie el nombre de «mshta.exe» a «mshta.exe.disabled» y abra la sesión como administrador. Si es necesario, asuma la propiedad del archivo. Para revertir este cambio, simplemente restaure el nombre original del archivo.
A medida que aumenta la conciencia sobre esta vulnerabilidad, es probable que Microsoft mejore las modificaciones relacionadas con la aplicación de MoTW en futuras actualizaciones. Asegúrese siempre de que su sistema operativo Windows esté actualizado y mantenga activadas las funciones de seguridad predeterminadas para detectar posibles scripts dañinos durante su ejecución.
Artículos relacionados:
¿Por qué el símbolo del sistema es el mejor gestor de descargas para Windows?
19:26
Cómo crear tarjetas de presentación al estilo iPhone en dispositivos Android
18:25
Vigilancia integral con la cámara de tablero OMBAR T1 4K
18:22
Deja una respuesta