В сфере кибербезопасности обнаружен принципиально новый метод социальной инженерии, получивший название FileFix. Эта техника представляет собой опасную эволюцию известных ClickFix-атак, но с критическим отличием: для выполнения вредоносных команд злоумышленникам больше не требуется взаимодействие с диалоговым окном "Выполнить" (Win+R).
Вместо этого FileFix эксплуатирует легитимную функциональность браузеров для загрузки файлов, превращая обычный элемент "<input type="file">" в скрытый инструмент компрометации систем. Исследователь, скрывающийся под псевдонимом mr.d0x, детально описал механизм работы в рамках подготовки обновления курса по фишинговым операциям, подчеркнув тревожную простоту реализации и высокую эффективность метода.
Суть FileFix-атаки заключается в хитрой манипуляции пользовательским взаимодействием с проводником Windows. Когда жертва нажимает кнопку "Загрузить файл" на фишинговой странице, браузер автоматически открывает окно проводника. В этот момент в буфер обмена незаметно копируется замаскированная PowerShell-команда вида: "Powershell.exe -c ping example.com # C:\\company\\internal-secure\\filedrive\\HRPolicy.docx". Пользователю демонстрируются инструкции, требующие вставить "путь к документу" в адресную строку проводника (сочетанием Ctrl+L). На деле же вместо открытия файла выполняется скрытая команда после символа комментария "#", причем видимая часть пути служит лишь камуфляжем. Гениальность атаки – в полном отсутствии подозрительных элементов: проводник воспринимается жертвой как естественная часть рабочего процесса.
Особую опасность представляет второй вариант FileFix, выявленный в ходе тестирования. При выполнении .exe-файлов через адресную строку проводника автоматически снимается атрибут Mark of the Web (MOTW) – критически важная метка безопасности, которая предупреждает о файлах, загруженных из интернета. В демонстрации mr.d0x показал, как payload.exe, первоначально помеченный MOTW, после запуска через адресную строку теряет этот атрибут, обходя защитные механизмы SmartScreen и Safebrowsing. Это открывает путь для выполнения вредоносного кода без стандартных предупреждений безопасности. Технически реализуется через автоматическую загрузку исполняемого файла при нажатии кнопки и копирование пути вида "%USERPROFILE%\\Downloads\\payload.exe" в буфер.
Фишинговые страницы для FileFix мастерски имитируют корпоративные шаблоны с логотипами Microsoft, временными штампами и профессиональным CSS-оформлением. Ключевой элемент – JavaScript-обработчики, которые блокируют нормальное использование загрузки файлов. При попытке выбрать файл вручную срабатывает алерт "Следуйте инструкциям", после чего проводник принудительно открывается повторно. Это вынуждает жертву действовать по сценарию злоумышленника. Код содержит хитрые уловки: например, клик по "пути к файлу" тоже копирует вредоносную команду "на случай, если пользователь решит проявить сообразительность".
Специалисты по безопасности бьют тревогу: FileFix демонстрирует три опасных тренда. Во-первых, использование легитимных функций браузеров (Chrome, Edge) для порождения процессов cmd.exe, что обходит многие сигнатурные системы защиты. Во-вторых, эксплуатация доверия к знакомым интерфейсам – проводник Windows не вызывает подозрений в отличие от командной строки. В-третьих, атака не оставляет классических артефактов вроде скачанных исполняемых файлов при первом варианте реализации. Для защиты рекомендуется усилить мониторинг дочерних процессов браузеров, особенно неожиданных вызовов PowerShell или cmd.exe. Пользователям следует запрещать вставку команд в адресные строки проводника – это не их предназначение. Корпоративным ИБ-командам стоит добавить в тренировки по осведомленности сценарии с "псевдо-документами", требующими манипуляций с путями файлов.
Глубинная проблема, которую вскрывает FileFix – фундаментальный разрыв между восприятием интерфейса и его техническими возможностями. Адресная строка проводника исторически ассоциируется с навигацией, но технически является полноценным интерпретатором команд. Браузеры, открывая проводник через "<input type="file">", не изолируют его от выполнения кода. Пока вендоры не изменят это поведение (например, через санитайзинг вводимых путей), FileFix останется актуальной угрозой. mr.d0x справедливо отмечает: "ClickFix считали слишком примитивным, но он работал. FileFix – следующий логичный шаг в эволюции социальной инженерии". Игнорирование этого метода может привести к волне целевых атак, особенно в сочетании с 0-day уязвимостями в PowerShell. Кибербезопасность – это гонка, где FileFix сегодня лидирует на опасном вираже.
