FileFix 攻击被披露：绕过 Win10 / Win11 MoTW 防护，隐蔽执行恶意代码

图片地址：https://img.ithome.com/newsuploadfiles/2025/7/39fb65da-4033-4277-924f-ec869499e902.jpg?x-bce-process=image/format,f_auto

IT之家 7 月 2 日消息，科技媒体 bleepingcomputer 昨日（7 月 1 日）发布博文，报道称安全研究专家 mr.d0x披露名为 FileFix 的新型攻击手段，可以绕过 Windows 10 / Windows 11 系统中标记网络（MoTW）保护，利用浏览器保存 HTML 网页的方式执行恶意脚本。FileFix 作为替代 ClickFix 的攻击手段，会诱骗用户将伪装的 PowerShell 命令粘贴到文件资源管理器地址栏中。这种攻击涉及一个钓鱼页面，诱骗受害者复制一个恶意的 PowerShell 命令。一旦用户将其粘贴到文件资源管理器后，Windows 就会执行 PowerShell，让攻击非常隐蔽。在新型的 FileFix 攻击中，攻击者会使用社会工程学手段诱骗用户保存一个 HTML 页面（使用 Ctrl+S），并将其重命名为.HTA 文件，这样就会通过 mshta.exe自动执行嵌入的 JScript。HTML 应用程序（.HTA）被视为遗留技术。这种 Windows 文件类型可以用来在当前用户上下文中执行 HTML 和脚本内容，使用合法的 mshta.exe 命令处理。研究员发现，在 HTML 文件以“Webpage, Complete”（MIME 类型为 text / html）保存后，它们不会接收到 MoTW 标签，允许脚本在没有任何警告的情况下执行。受害者打开.HTA 文件后，没有任何警告的情况下，嵌入的恶意脚本会