كشف الباحث الأمني “mrd0x” عن تكتيك جديد يستخدم نسخة مطورة من هجوم “FileFix”، والذي يعتمد على استغلال طريقة تعامل المتصفحات مع صفحات HTML المحفوظة لتجاوز حماية “Mark-of-the-Web” في نظام ويندوز. يتمثل الخداع في حث الضحايا على حفظ صفحة ويب ضارة بتنسيق HTML ثم تحويلها إلى ملف تنفيذي من نوع HTA، مما يؤدي إلى تنفيذ أوامر خبيثة تلقائياً عند فتح الملف.
كيف يعمل الهجوم الجديد؟
أوضح الباحث أن حفظ صفحة HTML باستخدام اختصار “Ctrl+S” أو عبر خيار “حفظ باسم” مع تحديد نوع “صفحة ويب كاملة” أو “صفحة ويب مفردة” يؤدي إلى إنشاء ملف دون علامة MotW الأمنية. يستغل المهاجمون هذه الثغرة عبر تصميم صفحات ويب مزورة تطلب من المستخدمين حفظ “رموز احتياطية للمصادقة الثنائية” بتنسيق HTA. بمجرد فتح الملف، يتم تنفيذ أكواد JavaScript المضمنة دون أي تحذير أمني.
سيناريوهات استهداف خطيرة للمستخدمين
من بين السيناريوهات المحتملة، قد ينشئ المخترقون صفحة ويب وهمية تطلب من الضحايا حفظ “رموز استعادة MFA” تحت اسم مثل “MfaBackupCodes2025.hta”. ثم يتم خداع الضحية لفتح الملف تحت ذريعة التأكد من صحة حفظ الرموز، مما يؤدي إلى تنفيذ الأوامر الخبيثة. تظهر هذه الطريقة تطوراً ملحوظاً في هجمات الهندسة الاجتماعية التي تستهدف أمان المستخدمين.
إجراءات وقائية ضد التهديد الجديد
يوصي الباحث بإلغاء قدرة ملف “mshta.exe” على تشغيل ملفات HTA كحل فوري لهذه الثغرة، مع تحذيره من إمكانية تطوير المهاجمين لأساليب مشابهة لأنواع ملفات أخرى. كما ينصح المستخدمون بعدم فتح أي ملفات مشبوهة يتم تنزيلها من الإنترنت، وفحص امتدادات الملفات بعناية قبل تشغيلها، خاصة تلك التي تبدو وكأنها تحتوي على معلومات حساسة.
