Cảnh báo bảo mật: Xuất hiện kỹ thuật tấn công FileFix – vượt qua bảo vệ MoTW trên Windows 10/11, âm thầm thực thi mã độc
Mới đây, chuyên gia nghiên cứu bảo mật mr.d0x đã tiết lộ một kỹ thuật tấn công mới có tên FileFix, có thể bỏ qua tính năng bảo vệ “Mark of the Web” (MoTW) của Windows 10 và 11 bằng cách lưu trang HTML qua trình duyệt để thực thi các tập lệnh độc hại.
FileFix là phương pháp thay thế cho kỹ thuật ClickFix trước đây, lừa người dùng dán lệnh PowerShell giả mạo vào thanh địa chỉ của File Explorer, từ đó dẫn đến việc thực thi mã độc một cách bí mật.
Cuộc tấn công này bắt đầu từ một trang web lừa đảo, nơi nạn nhân bị dụ sao chép lệnh PowerShell độc hại. Khi người dùng dán đoạn lệnh vào thanh địa chỉ của File Explorer, Windows sẽ gọi PowerShell và thực thi đoạn mã đó — khiến cuộc tấn công gần như vô hình.
Trong kỹ thuật FileFix mới này, kẻ tấn công sử dụng kỹ thuật lừa đảo (social engineering), dụ nạn nhân lưu một trang HTML giả mạo bằng cách nhấn Ctrl+S, sau đó đổi phần mở rộng tập tin thành .HTA, từ đó Windows sẽ sử dụng mshta.exe để tự động thực thi đoạn mã JScript nhúng trong file.
Các tập tin HTML ứng dụng (.HTA) được xem là công nghệ cũ trong hệ điều hành Windows. Đây là một loại tập tin có thể thực thi nội dung HTML và mã script trong ngữ cảnh người dùng hiện tại, và được xử lý bằng lệnh mshta.exe.
Các nhà nghiên cứu nhận thấy rằng khi người dùng lưu trang HTML ở định dạng “Webpage, Complete” (kiểu MIME là text/html), thì các tập tin này sẽ không được gán thẻ MoTW — điều đó đồng nghĩa mã độc có thể thực thi mà không có bất kỳ cảnh báo nào.
Khi nạn nhân mở file .hta, đoạn mã độc nhúng trong đó sẽ chạy ngay lập tức mà không bị cảnh báo.
Phần khó khăn nhất của cuộc tấn công nằm ở kỹ thuật xã hội — dụ nạn nhân lưu trang HTML và đổi tên nó. Một cách lừa tinh vi hơn là tạo ra một website độc hại gợi ý người dùng lưu mã sao lưu xác thực đa yếu tố (MFA) để giữ quyền truy cập vào dịch vụ về sau.
Trang lừa đảo sẽ hướng dẫn người dùng nhấn Ctrl+S, chọn kiểu lưu là “Webpage, Complete” và đặt tên là ‘MfaBackupCodes2025.hta’.
Cách phòng chống hiệu quả với FileFix:
FileFix là phương pháp thay thế cho kỹ thuật ClickFix trước đây, lừa người dùng dán lệnh PowerShell giả mạo vào thanh địa chỉ của File Explorer, từ đó dẫn đến việc thực thi mã độc một cách bí mật.
Cuộc tấn công này bắt đầu từ một trang web lừa đảo, nơi nạn nhân bị dụ sao chép lệnh PowerShell độc hại. Khi người dùng dán đoạn lệnh vào thanh địa chỉ của File Explorer, Windows sẽ gọi PowerShell và thực thi đoạn mã đó — khiến cuộc tấn công gần như vô hình.
Trong kỹ thuật FileFix mới này, kẻ tấn công sử dụng kỹ thuật lừa đảo (social engineering), dụ nạn nhân lưu một trang HTML giả mạo bằng cách nhấn Ctrl+S, sau đó đổi phần mở rộng tập tin thành .HTA, từ đó Windows sẽ sử dụng mshta.exe để tự động thực thi đoạn mã JScript nhúng trong file.
Các nhà nghiên cứu nhận thấy rằng khi người dùng lưu trang HTML ở định dạng “Webpage, Complete” (kiểu MIME là text/html), thì các tập tin này sẽ không được gán thẻ MoTW — điều đó đồng nghĩa mã độc có thể thực thi mà không có bất kỳ cảnh báo nào.
Phần khó khăn nhất của cuộc tấn công nằm ở kỹ thuật xã hội — dụ nạn nhân lưu trang HTML và đổi tên nó. Một cách lừa tinh vi hơn là tạo ra một website độc hại gợi ý người dùng lưu mã sao lưu xác thực đa yếu tố (MFA) để giữ quyền truy cập vào dịch vụ về sau.
Trang lừa đảo sẽ hướng dẫn người dùng nhấn Ctrl+S, chọn kiểu lưu là “Webpage, Complete” và đặt tên là ‘MfaBackupCodes2025.hta’.
Cách phòng chống hiệu quả với FileFix:
- Vô hiệu hoá hoặc xóa mshta.exe khỏi hệ thống (nằm tại C:\Windows\System32 và C:\Windows\SysWOW64).
- Bật hiển thị phần mở rộng của tệp tin trong Windows để người dùng dễ phát hiện .hta giả mạo.
- Chặn hoặc lọc các file đính kèm dạng HTML trong email.
