Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 2 Luglio 2025 17:26
È stato scoperto sul sistema operativo Microsoft Windows un nuovo metodo per aggirare la protezione che consente l’esecuzione di script dannosi senza alcun preavviso all’utente. La tecnica, chiamata FileFix, è stata migliorata e ora sfrutta una vulnerabilità nel modo in cui i browser gestiscono le pagine HTML salvate.
L’attacco è stato presentato da un ricercatore di sicurezza noto come mr.d0x. Aveva precedentemente illustrato il funzionamento della prima versione di FileFix. All’epoca, gli aggressori utilizzavano una pagina di phishing per convincere la vittima a incollare un comando PowerShell mascherato nella barra degli indirizzi di Windows Explorer. Una volta incollato, il comando veniva eseguito automaticamente, rendendo l’attacco praticamente invisibile all’utente.
La nuova variante di FileFix è ancora più sofisticata. Permette l’esecuzione dello script dannoso, bypassando la protezione Mark of the Web ( MoTW ), progettata per bloccare l’esecuzione di file potenzialmente pericolosi scaricati da Internet. In questo attacco, l’aggressore utilizza tecniche di ingegneria sociale per convincere la vittima a salvare una pagina HTML utilizzando la scorciatoia da tastiera Ctrl+S e rinominarne l’estensione in .HTA. Tali file sono associati alla tecnologia obsoleta, ma ancora disponibile in Windows, delle applicazioni HTML.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
I file con estensione .HTA sono applicazioni basate su HTML che vengono avviate automaticamente tramite il componente di sistema mshta.exe. Questo file eseguibile legittimo consente di eseguire codice HTML e script incorporati con i diritti dell’utente corrente. Questo è ciò che rende i file .HTA uno strumento utile per la distribuzione di codice dannoso.
Come mostrato da mr.d0x, quando si salva una pagina HTML tramite un browser nel formato “Pagina web completa” (con tipo MIME text/html), tale pagina non riceve la speciale etichetta di sicurezza MoTW. MoTW viene solitamente aggiunta automaticamente ai file scaricati da Internet per avvisare l’utente di una potenziale minaccia e bloccare l’esecuzione di script incorporati. L’assenza di questa etichetta offre agli aggressori la possibilità di aggirare i meccanismi di sicurezza standard del sistema.
Una volta che l’utente rinomina il file salvato, ad esempio in “MfaBackupCodes2025.hta”, e lo apre, il codice dannoso incorporato nel file verrà immediatamente eseguito senza alcun avviso o richiesta di sistema. In sostanza, la vittima esegue il malware autonomamente, senza nemmeno rendersene conto.
La parte più difficile per gli aggressori è la fase di ingegneria sociale: convincere l’utente a salvare la pagina e modificarne correttamente l’estensione. Tuttavia, come osserva mr.d0x, questa barriera può essere superata se la pagina falsa è progettata correttamente. Ad esempio, potrebbe apparire come un sito web ufficiale, chiedendo all’utente di salvare i codici di backup per l’autenticazione a due fattori per ripristinare l’accesso all’account in un secondo momento. La pagina potrebbe contenere istruzioni dettagliate, tra cui la richiesta di premere Ctrl+S, selezionare l’opzione di salvataggio “Pagina web, completa” e specificare un nome file con estensione .HTA.
Se una pagina di questo tipo sembra sufficientemente convincente e l’utente non ha conoscenze approfondite in materia di sicurezza e non nota l’estensione del file, la probabilità di un attacco riuscito aumenta significativamente. Ad esempio, gli aggressori potrebbero utilizzare una pagina intitolata “Codici di backup MFA” che suggerisce di salvare un file con il nome “MfaBackupCodes2025.hta”. Questo approccio è particolarmente pericoloso, dato il basso livello di formazione tecnica di molti utenti.
Per proteggersi da tali attacchi, gli esperti raccomandano di eliminare completamente o bloccare il file eseguibile di sistema mshta.exe, che si trova nelle directory C:WindowsSystem32 e C:WindowsSysWOW64. Questo componente non viene praticamente utilizzato nelle attività quotidiane e può essere disabilitato in sicurezza nella maggior parte degli scenari.
RedazioneSecondo un rapporto pubblicato di recente dal Financial Crimes Enforcement Network (FinCEN), l’attività globale del ransomware ha raggiunto il picco nel 2023, per poi crollare nel 2024. Questo calo...
Siamo connessi, connessi a tutto, iperconnessi. La nostra vita professionale e sociale è scandita da deadline strettissime e da un’asticella che viene continuamente alzata, dobbiamo spingere. Ci im...
Il Centro Congressi Frentani ospiterà il 12 dicembre la conferenza “Cybercrime, Artificial Intelligence & Digital Forensics”, l’evento annuale organizzato da IISFA – Associazione Italiana...
Un nuovo post pubblicato poche ore fa sul forum underground Exploit rivela l’ennesima offerta criminale legata alla vendita di accessi a siti compromessi. L’inserzionista, un utente storico del fo...
In Australia, a breve sarà introdotta una normativa innovativa che vieta l’accesso ai social media per i minori di 16 anni, un’iniziativa che farà scuola a livello mondiale. Un’analoga misura ...
