
FileFix é uma técnica de ataque emergente que explora a maneira como o Windows e os navegadores gerenciam o processo de salvamento de páginas HTML, contornando efetivamente as medidas de segurança integradas do Windows. Se executado com sucesso, esse método pode levar a graves violações de segurança, incluindo a implantação de ransomware, roubo de credenciais e a instalação de diversas formas de malware. Neste guia completo, exploraremos as principais estratégias para proteger seu computador contra potenciais ameaças do FileFix.
Compreendendo a mecânica de um ataque FileFix
Descoberto pelo especialista em segurança mr.d0x, o ataque FileFix manipula o processamento de arquivos HTML locais de aplicativos e o recurso de segurança Mark of the Web (MoTW) do Windows. Quando os usuários utilizam a opção “Salvar como” em uma página da web, os navegadores geralmente não conseguem marcá-la com o MoTW, que visa alertar sistemas de segurança como o Windows Security para verificar se há conteúdo malicioso no arquivo.
Além disso, quando um arquivo é salvo com a extensão.hta (arquivo de aplicativo HTML), ele pode ser executado imediatamente na conta de usuário atual, sem passar por verificações de segurança. Um site malicioso pode induzir os usuários a salvá-lo como um arquivo.hta, permitindo que o código malicioso inserido seja executado assim que o arquivo for aberto, evitando a detecção pelos sistemas de segurança do Windows.
Embora persuadir usuários a salvar um arquivo malicioso seja inerentemente desafiador, táticas semelhantes às usadas pelo EDDIESTEALER podem ser empregadas. Isso inclui métodos de engenharia social que manipulam indivíduos para salvar informações confidenciais, como códigos MFA, com extensões.hta enganosas.
Existem inúmeras medidas preventivas que podem bloquear esse vetor de ataque de forma eficaz. Abaixo, algumas estratégias importantes.
Fique longe de páginas da web suspeitas
A etapa inicial do ataque FileFix envolve salvar uma página da web maliciosa; portanto, evitar esses sites completamente previne o ataque. Sempre use navegadores atualizados, como Chrome, Edge ou Firefox, que incorporam recursos de detecção de phishing e proteção contra malware. No Google Chrome, habilitar a Proteção Aprimorada pode fornecer detecção de ameaças em tempo real, orientada por IA.
Muitos sites maliciosos são propagados por meio de e-mails de phishing que se passam por fontes legítimas. Identificar esses e-mails é crucial, e evitar interagir com eles pode reduzir significativamente o risco de se tornar vítima de diversas ameaças cibernéticas. Se você inadvertidamente acessar um site duvidoso, existem maneiras eficazes de avaliar sua legitimidade.
Visibilidade das extensões de arquivo no Windows
No Windows 11, as extensões de arquivo são ocultadas por padrão, o que faz com que os usuários ignorem as alterações de.html para.hta. Para combater isso, é recomendável tornar as extensões de arquivo visíveis, garantindo que os usuários possam reconhecer o tipo real do arquivo, independentemente de qualquer nome enganoso.
Para habilitar a visibilidade das extensões de arquivo, siga estas etapas:
- Abra o Explorador de Arquivos.
- Clique no botão Ver mais (três pontos) e selecione Opções.
- Navegue até a aba Exibir e desmarque a caixa Ocultar extensões para tipos de arquivo conhecidos.

Com essa alteração, as extensões dos arquivos serão exibidas, mesmo na janela de download ao salvar uma página da web.

Definir o Bloco de Notas como o programa padrão para arquivos.hta
Mshta é o aplicativo padrão responsável pela execução de arquivos.hta. Ao reatribuir a associação do arquivo.hta ao Bloco de Notas, esses arquivos serão abertos como documentos de texto em vez de executar scripts, evitando assim a execução de conteúdo potencialmente prejudicial.
É improvável que esse ajuste cause transtornos para usuários em geral, visto que scripts hta são usados principalmente por profissionais de TI ou para aplicações corporativas específicas. Para implementar essa alteração, faça o seguinte:
- Acesse as Configurações do Windows e navegue até Aplicativos -> Aplicativos padrão.
- Na barra de pesquisa em Definir um padrão para um tipo de arquivo ou tipo de link, digite “.hta”.

Desabilitando Mshta para impedir a execução de HTML
Um método preventivo adicional envolve desabilitar completamente o aplicativo Mshta para impedir todas as execuções de scripts hta. Isso pode ser feito renomeando o arquivo “mshta.exe” para “mshta.exe.disabled”.Para realizar essa alteração, os usuários devem garantir que as extensões de arquivo estejam visíveis.
Localize o arquivo Mshta nos diretórios “C:\Windows\System32” e “C:\Windows\SysWOW64”, renomeie “mshta.exe” para “mshta.exe.disabled” e esteja conectado como administrador. Se necessário, assuma a propriedade do arquivo. Para reverter essa alteração, basta restaurar o nome original do arquivo.

À medida que a conscientização sobre essa vulnerabilidade aumenta, é provável que a Microsoft aprimore as modificações relacionadas à aplicação do MoTW em atualizações futuras. Certifique-se sempre de que seu sistema operacional Windows esteja atualizado e mantenha os recursos de segurança padrão ativados para detectar scripts potencialmente nocivos durante sua execução.
Deixe um comentário