Proteja seu PC contra o novo ataque FileFix que ignora o Windows MoTW

Proteja seu PC contra o novo ataque FileFix que ignora o Windows MoTW

FileFix é uma técnica de ataque emergente que explora a maneira como o Windows e os navegadores gerenciam o processo de salvamento de páginas HTML, contornando efetivamente as medidas de segurança integradas do Windows. Se executado com sucesso, esse método pode levar a graves violações de segurança, incluindo a implantação de ransomware, roubo de credenciais e a instalação de diversas formas de malware. Neste guia completo, exploraremos as principais estratégias para proteger seu computador contra potenciais ameaças do FileFix.

Compreendendo a mecânica de um ataque FileFix

Descoberto pelo especialista em segurança mr.d0x, o ataque FileFix manipula o processamento de arquivos HTML locais de aplicativos e o recurso de segurança Mark of the Web (MoTW) do Windows. Quando os usuários utilizam a opção “Salvar como” em uma página da web, os navegadores geralmente não conseguem marcá-la com o MoTW, que visa alertar sistemas de segurança como o Windows Security para verificar se há conteúdo malicioso no arquivo.

Além disso, quando um arquivo é salvo com a extensão.hta (arquivo de aplicativo HTML), ele pode ser executado imediatamente na conta de usuário atual, sem passar por verificações de segurança. Um site malicioso pode induzir os usuários a salvá-lo como um arquivo.hta, permitindo que o código malicioso inserido seja executado assim que o arquivo for aberto, evitando a detecção pelos sistemas de segurança do Windows.

Embora persuadir usuários a salvar um arquivo malicioso seja inerentemente desafiador, táticas semelhantes às usadas pelo EDDIESTEALER podem ser empregadas. Isso inclui métodos de engenharia social que manipulam indivíduos para salvar informações confidenciais, como códigos MFA, com extensões.hta enganosas.

Existem inúmeras medidas preventivas que podem bloquear esse vetor de ataque de forma eficaz. Abaixo, algumas estratégias importantes.

Fique longe de páginas da web suspeitas

A etapa inicial do ataque FileFix envolve salvar uma página da web maliciosa; portanto, evitar esses sites completamente previne o ataque. Sempre use navegadores atualizados, como Chrome, Edge ou Firefox, que incorporam recursos de detecção de phishing e proteção contra malware. No Google Chrome, habilitar a Proteção Aprimorada pode fornecer detecção de ameaças em tempo real, orientada por IA.

Muitos sites maliciosos são propagados por meio de e-mails de phishing que se passam por fontes legítimas. Identificar esses e-mails é crucial, e evitar interagir com eles pode reduzir significativamente o risco de se tornar vítima de diversas ameaças cibernéticas. Se você inadvertidamente acessar um site duvidoso, existem maneiras eficazes de avaliar sua legitimidade.

Visibilidade das extensões de arquivo no Windows

No Windows 11, as extensões de arquivo são ocultadas por padrão, o que faz com que os usuários ignorem as alterações de.html para.hta. Para combater isso, é recomendável tornar as extensões de arquivo visíveis, garantindo que os usuários possam reconhecer o tipo real do arquivo, independentemente de qualquer nome enganoso.

Para habilitar a visibilidade das extensões de arquivo, siga estas etapas:

  • Abra o Explorador de Arquivos.
  • Clique no botão Ver mais (três pontos) e selecione Opções.
  • Navegue até a aba Exibir e desmarque a caixa Ocultar extensões para tipos de arquivo conhecidos.
Habilitando extensões de arquivo nas opções do explorador de arquivos do Windows

Com essa alteração, as extensões dos arquivos serão exibidas, mesmo na janela de download ao salvar uma página da web.

Caixa de diálogo de download do Windows com extensão de arquivo exibida

Definir o Bloco de Notas como o programa padrão para arquivos.hta

Mshta é o aplicativo padrão responsável pela execução de arquivos.hta. Ao reatribuir a associação do arquivo.hta ao Bloco de Notas, esses arquivos serão abertos como documentos de texto em vez de executar scripts, evitando assim a execução de conteúdo potencialmente prejudicial.

É improvável que esse ajuste cause transtornos para usuários em geral, visto que scripts hta são usados ​​principalmente por profissionais de TI ou para aplicações corporativas específicas. Para implementar essa alteração, faça o seguinte:

  • Acesse as Configurações do Windows e navegue até Aplicativos -> Aplicativos padrão.
  • Na barra de pesquisa em Definir um padrão para um tipo de arquivo ou tipo de link, digite “.hta”.
Definir o Bloco de Notas como aplicativo padrão nas configurações do Windows

Desabilitando Mshta para impedir a execução de HTML

Um método preventivo adicional envolve desabilitar completamente o aplicativo Mshta para impedir todas as execuções de scripts hta. Isso pode ser feito renomeando o arquivo “mshta.exe” para “mshta.exe.disabled”.Para realizar essa alteração, os usuários devem garantir que as extensões de arquivo estejam visíveis.

Localize o arquivo Mshta nos diretórios “C:\Windows\System32” e “C:\Windows\SysWOW64”, renomeie “mshta.exe” para “mshta.exe.disabled” e esteja conectado como administrador. Se necessário, assuma a propriedade do arquivo. Para reverter essa alteração, basta restaurar o nome original do arquivo.

Alterando o nome do aplicativo Mshta no Windows 11

À medida que a conscientização sobre essa vulnerabilidade aumenta, é provável que a Microsoft aprimore as modificações relacionadas à aplicação do MoTW em atualizações futuras. Certifique-se sempre de que seu sistema operacional Windows esteja atualizado e mantenha os recursos de segurança padrão ativados para detectar scripts potencialmente nocivos durante sua execução.

Fonte e Imagens

Artigos relacionados:

Nova Hearts: Uma análise de temas românticos interrompidos por combates tediosos
Guia para adquirir ingressos dourados e de platina em Persona 5 The Phantom X

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *