Redazione RHC : 2 Luglio 2025 17:26
È stato scoperto sul sistema operativo Microsoft Windows un nuovo metodo per aggirare la protezione che consente l’esecuzione di script dannosi senza alcun preavviso all’utente. La tecnica, chiamata FileFix, è stata migliorata e ora sfrutta una vulnerabilità nel modo in cui i browser gestiscono le pagine HTML salvate.
L’attacco è stato presentato da un ricercatore di sicurezza noto come mr.d0x. Aveva precedentemente illustrato il funzionamento della prima versione di FileFix. All’epoca, gli aggressori utilizzavano una pagina di phishing per convincere la vittima a incollare un comando PowerShell mascherato nella barra degli indirizzi di Windows Explorer. Una volta incollato, il comando veniva eseguito automaticamente, rendendo l’attacco praticamente invisibile all’utente.
La nuova variante di FileFix è ancora più sofisticata. Permette l’esecuzione dello script dannoso, bypassando la protezione Mark of the Web ( MoTW ), progettata per bloccare l’esecuzione di file potenzialmente pericolosi scaricati da Internet. In questo attacco, l’aggressore utilizza tecniche di ingegneria sociale per convincere la vittima a salvare una pagina HTML utilizzando la scorciatoia da tastiera Ctrl+S e rinominarne l’estensione in .HTA. Tali file sono associati alla tecnologia obsoleta, ma ancora disponibile in Windows, delle applicazioni HTML.
CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC
Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"?
Conosci il nostro corso sul cybersecurity awareness a fumetti?
Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
I file con estensione .HTA sono applicazioni basate su HTML che vengono avviate automaticamente tramite il componente di sistema mshta.exe. Questo file eseguibile legittimo consente di eseguire codice HTML e script incorporati con i diritti dell’utente corrente. Questo è ciò che rende i file .HTA uno strumento utile per la distribuzione di codice dannoso.
Come mostrato da mr.d0x, quando si salva una pagina HTML tramite un browser nel formato “Pagina web completa” (con tipo MIME text/html), tale pagina non riceve la speciale etichetta di sicurezza MoTW. MoTW viene solitamente aggiunta automaticamente ai file scaricati da Internet per avvisare l’utente di una potenziale minaccia e bloccare l’esecuzione di script incorporati. L’assenza di questa etichetta offre agli aggressori la possibilità di aggirare i meccanismi di sicurezza standard del sistema.
Una volta che l’utente rinomina il file salvato, ad esempio in “MfaBackupCodes2025.hta”, e lo apre, il codice dannoso incorporato nel file verrà immediatamente eseguito senza alcun avviso o richiesta di sistema. In sostanza, la vittima esegue il malware autonomamente, senza nemmeno rendersene conto.
La parte più difficile per gli aggressori è la fase di ingegneria sociale: convincere l’utente a salvare la pagina e modificarne correttamente l’estensione. Tuttavia, come osserva mr.d0x, questa barriera può essere superata se la pagina falsa è progettata correttamente. Ad esempio, potrebbe apparire come un sito web ufficiale, chiedendo all’utente di salvare i codici di backup per l’autenticazione a due fattori per ripristinare l’accesso all’account in un secondo momento. La pagina potrebbe contenere istruzioni dettagliate, tra cui la richiesta di premere Ctrl+S, selezionare l’opzione di salvataggio “Pagina web, completa” e specificare un nome file con estensione .HTA.
Se una pagina di questo tipo sembra sufficientemente convincente e l’utente non ha conoscenze approfondite in materia di sicurezza e non nota l’estensione del file, la probabilità di un attacco riuscito aumenta significativamente. Ad esempio, gli aggressori potrebbero utilizzare una pagina intitolata “Codici di backup MFA” che suggerisce di salvare un file con il nome “MfaBackupCodes2025.hta”. Questo approccio è particolarmente pericoloso, dato il basso livello di formazione tecnica di molti utenti.
Per proteggersi da tali attacchi, gli esperti raccomandano di eliminare completamente o bloccare il file eseguibile di sistema mshta.exe, che si trova nelle directory C:WindowsSystem32 e C:WindowsSysWOW64. Questo componente non viene praticamente utilizzato nelle attività quotidiane e può essere disabilitato in sicurezza nella maggior parte degli scenari.
RedazioneCon la rapida crescita delle minacce digitali, le aziende di tutto il mondo sono sotto attacco informatico. Secondo gli ultimi dati di Check Point Research, ogni organizzazione subisce in media 1,984 ...
