СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
09.07.2025
#ИБ#Инфра

Новая угроза FileFix: обход защиты при сохранении веб-страниц

Новая угроза FileFix: обход защиты при сохранении веб-страниц

Недавний анализ в области кибербезопасности выявил новую разновидность атаки под названием FileFix — адаптацию ранее известной техники ClickFix. Эта атака эксплуатирует особенности сохранения веб-страниц в браузерах Chrome и Microsoft Edge, создавая новые риски для пользователей и системных администраторов.

Механизм атаки и его особенности

Суть атаки заключается в использовании стандартных функций браузеров по сохранению содержимого HTML. При сохранении страницы в форматах «Веб-страница, отдельный файл» или «Веб-страница, полная» на выходе формируются файлы, которые не содержат метки Web (Mark of the Web, MOTW), если MIME-тип исходного ресурса — text/html или application/xhtml+xml.

Это имеет критическое значение, поскольку отсутствие MOTW позволяет обойти защитные механизмы, предназначенные для предотвращения выполнения потенциально опасных скриптов и приложений с локального компьютера.

Опасность для безопасности и способы эксплуатации

Злоумышленники могут создавать специальные HTML-фишинговые файлы, в которых отсутствует элемент <title>, а затем переименовывать их с расширением .hta. Использование расширения .hta дает возможность запуска таких файлов в качестве HTML-приложений, что значительно повышает риск вредоносного кода.

Также атака использует особенности серверов, которые отправляют заголовок Content-Type с параметром text/html. В результате, когда жертва сохраняет веб-страницу, имя файла по умолчанию маскирует истинную природу файла, облегчая запуск вредоносного HTA без предупреждений со стороны системы безопасности.

Дополнительные векторы атаки

  • URI данных с типом MIME text/html могут быть сохранены аналогичным образом без метки MOTW.
  • Это открывает дополнительный путь для проведения атак социальной инженерии, поскольку пользователи могут не распознать опасность сохраненного файла.

Выводы

Выявленная техника FileFix демонстрирует, как злоумышленники используют тонкости работы браузеров и протоколов MIME для обхода существующих защитных механизмов. В связи с этим критически важно пересмотреть подходы к обработке и проверке сохранённых веб-файлов, а также повысить осведомленность пользователей о потенциальных рисках.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: