
FileFix è una tecnica di attacco emergente che sfrutta il modo in cui Windows e i browser web gestiscono il processo di salvataggio delle pagine web HTML, aggirando efficacemente le misure di sicurezza integrate di Windows. Se eseguito correttamente, questo metodo può portare a gravi violazioni della sicurezza, tra cui l’implementazione di ransomware, il furto di credenziali e l’installazione di varie forme di malware. In questa guida completa, esploreremo le strategie chiave per proteggere il computer dalle potenziali minacce di FileFix.
Comprendere la meccanica di un attacco FileFix
Scoperto dall’esperto di sicurezza mr.d0x, l’attacco FileFix manipola la gestione dei file HTML locali delle applicazioni e la funzionalità di sicurezza Mark of the Web (MoTW) di Windows. Quando gli utenti utilizzano l’opzione “Salva con nome” su una pagina web, i browser in genere non la taggano con MoTW, che ha lo scopo di allertare i sistemi di sicurezza come Windows Security affinché eseguano la scansione del file alla ricerca di contenuti dannosi.
Inoltre, quando un file viene salvato con estensione.hta (file di applicazione HTML), può essere eseguito immediatamente con l’account utente corrente senza dover sottoporsi a controlli di sicurezza. Un sito web dannoso può indurre gli utenti a salvarlo come file.hta, consentendo così l’esecuzione del codice dannoso inserito non appena il file viene aperto, eludendo il rilevamento da parte dei sistemi di sicurezza di Windows.
Sebbene convincere gli utenti a salvare un file dannoso sia intrinsecamente difficile, è possibile impiegare tattiche simili a quelle utilizzate da EDDIESTEALER. Tra queste, metodi di ingegneria sociale che manipolano gli utenti inducendoli a salvare informazioni sensibili, come i codici MFA, con estensioni.hta fuorvianti.
Esistono numerose misure preventive che possono bloccare efficacemente questo vettore di attacco. Di seguito sono riportate alcune strategie chiave.
Stai alla larga dalle pagine web sospette
Il primo passo dell’attacco FileFix consiste nel salvare una pagina web dannosa; pertanto, evitare tali siti previene completamente l’attacco. Utilizzate sempre browser aggiornati come Chrome, Edge o Firefox, che integrano funzionalità di rilevamento del phishing e protezione da malware. Su Google Chrome, l’attivazione della Protezione Avanzata può fornire un rilevamento delle minacce in tempo reale basato sull’intelligenza artificiale.
Molti siti dannosi vengono propagati tramite email di phishing mascherate da fonti legittime. Essere in grado di identificare queste email è fondamentale ed evitare di interagire con esse può ridurre significativamente il rischio di cadere vittima di diverse minacce informatiche. Se si finisce inavvertitamente su un sito sospetto, esistono metodi efficaci per valutarne l’autenticità.
Visibilità delle estensioni dei file in Windows
In Windows 11, le estensioni dei file sono nascoste per impostazione predefinita, il che porta gli utenti a ignorare le modifiche da.html a.hta. Per evitare questo problema, è consigliabile rendere visibili le estensioni dei file, assicurandosi che gli utenti possano riconoscere il tipo effettivo di file indipendentemente da eventuali nomi ingannevoli.
Per abilitare la visibilità delle estensioni dei file, segui questi passaggi:
- Aprire Esplora file.
- Fare clic sul pulsante Vedi altro (tre punti) e selezionare Opzioni.
- Passare alla scheda Visualizza e deselezionare la casella denominata Nascondi le estensioni per i tipi di file conosciuti.

Grazie a questa modifica, le estensioni dei file verranno visualizzate anche all’interno della finestra di download quando si salva una pagina web.

Imposta Blocco note come programma predefinito per i file.hta
Mshta è l’applicazione predefinita responsabile dell’esecuzione dei file.hta. Riassegnando l’associazione del file.hta al Blocco note, questi file si apriranno come documenti di testo anziché come script, impedendo così l’esecuzione di contenuti potenzialmente dannosi.
È improbabile che questa modifica interferisca con gli utenti generali, poiché gli script HTA sono utilizzati principalmente da professionisti IT o per specifiche applicazioni aziendali. Per implementare questa modifica, procedere come segue:
- Accedi alle Impostazioni di Windows e vai su App -> App predefinite.
- Nella barra di ricerca sotto Imposta un valore predefinito per un tipo di file o un tipo di collegamento, digita “.hta”.

Disabilitare Mshta per impedire l’esecuzione HTML
Un ulteriore metodo preventivo consiste nel disabilitare completamente l’applicazione Mshta per bloccare tutte le esecuzioni di script.hta. Questo può essere fatto rinominando il file “mshta.exe” in “mshta.exe.disabled”.Per eseguire questa modifica, gli utenti devono assicurarsi che le estensioni dei file siano visibili.
Individuare il file Mshta nelle directory “C:\Windows\System32” e “C:\Windows\SysWOW64”, rinominare “mshta.exe” in “mshta.exe.disabled”, accedendo come amministratore. Se necessario, assumere la proprietà del file. Annullare questa modifica è semplicemente ripristinare il nome originale del file.

Con l’aumentare della consapevolezza di questa vulnerabilità, è probabile che Microsoft migliori le modifiche relative all’applicazione di MoTW nei futuri aggiornamenti. Assicuratevi sempre che il vostro sistema operativo Windows sia aggiornato e mantenete attive le funzionalità di sicurezza predefinite per rilevare eventuali script dannosi durante la loro esecuzione.
Lascia un commento