
Temmuz 2025’te siber saldırıların sofistike yeni bir varyasyonu ortaya çıktı ve Chrome ve Microsoft Edge’in web sayfası tasarrufu işlevselliğini nasıl ele aldığı konusunda kritik bir güvenlik açığından yararlandı.
“FileFix 2.0” olarak adlandırılan saldırı, HTML Uygulaması (HTA) yürütme ile birlikte meşru tarayıcı kaydetme mekanizmalarından yararlanarak Windows’un Web’in Mark (MOTW) Güvenlik özelliğini atlar.
Keşif, bu yıl sosyal mühendislik saldırılarında dramatik bir artışın ortasında.
En son ESET tehdit raporuna göre, ClickFix Saldırıları, FileFix’in selefi, 2025’in ilk yarısında% 517 oranında arttı ve kimlik avı sonrası ikinci en yaygın saldırı vektörü oldu ve bloke edilen tüm saldırıların yaklaşık% 8’ini oluşturdu.
Bu patlayıcı büyüme, tehdit aktörleri tarafından tamamen teknik istismarlardan ziyade psikolojik manipülasyon konusundaki artan bir güvenini göstermektedir.
Yeni saldırı varyantı, Chrome ve Microsoft Edge tarayıcılarında daha önce bilinmeyen bir davranıştan yararlanıyor.
Kullanıcılar, Ctrl+S’yi “web sayfası, tek dosya” veya “web sayfası, tam” formatlarla kullanarak web sayfalarını kaydettiğinde, HTML veya XHTML+XML MIME türlerine sahip dosyalar, kullanıcıları internetten potansiyel olarak tehlikeli dosyalar konusunda uyaran MOTW koruması olmadan kaydedilir.
Orijinal dosya saldırısını ilk kez belgeleyen siber güvenlik araştırmacısı Mr.D0X, tarayıcı işlevselliğini HTML uygulamaları (HTA) dosyalarıyla birleştiren bu daha sinsi varyasyonu ortaya çıkardı.
Geleneksel kötü amaçlı yazılım dağıtım yöntemlerinden farklı olarak, bu teknik mağdurların güvenlik özelliklerini devre dışı bırakmasını veya uyarı mesajlarını yok saymasını gerektirmez.
Sahte yedekleme kodları aracılığıyla sosyal mühendislik
Saldırının sosyal mühendislik bileşeni özellikle akıllı. Tehdit aktörleri, popüler çevrimiçi hizmetleri taklit eden ve çok faktörlü kimlik doğrulama yedekleme kodları gibi görünen şeyleri gösteren meşru görünümlü web siteleri oluşturur.
Sayfalar, kullanıcılara CTRL+S kullanarak kodları yerel olarak kaydetmelerini söyler ve dosyayı “uygun depolama” için bir “.hta” uzantısı ile adlandırır.
Aldatıcı arayüz, numaralı yedekleme kodları ve profesyonel talimatlarla birlikte Google veya Microsoft kimlik doğrulama sayfalarına benzemek için tasarlanmış tanıdık öğeler sunar.

Mağdurlar, gerekli güvenlik kimlik bilgilerini güvenli bir şekilde sakladıklarına inanarak, sistemlerinde keyfi komutlar çalıştırabilecek kötü amaçlı HTML uygulamalarını bilmeden indirip yürütüyorlar.
MOTW geleneksel olarak Windows’un internetten düşürülen tehditlere karşı ilk savunma hattı olarak hizmet eder. Dosyalar bu işareti taşıdığında, Windows güvenlik uyarılarını görüntüler veya tamamen yürütmeyi engeller.
Ancak, FileFix 2.0 tekniği, meşru tarayıcı davranışı yoluyla bu korumayı atlatır. Güvenlik açığı, kaydetme işlemi sırasında tarayıcıların belirli MIME tiplerini kullanmasından kaynaklanmaktadır.
Çoğu dosya türü MOTW koruması alırken, tarayıcıdan kaydedilen HTML ve XHTML+XML içeriği “AS AS” işlevselliği bu güvenlik ölçüsünü tamamen atlar. Bu, hem güvenlik yazılımı hem de kullanıcılar için meşru görünen bir yürütme yolu oluşturur.
HTA Dosyaları: Kalıcı Bir Saldırı Vektörü
HTML uygulamaları, 2025’te güvenlik riskleri oluşturmaya devam eden eski bir Windows özelliğini temsil eder.
Bu dosyalar, HTML tabanlı arabirimleri korurken esasen masaüstü uygulamaları olarak işlev gören tam sistem ayrıcalıklarıyla yürütülür. Yaşlarına rağmen, HTA dosyaları Windows 11 dahil tüm Windows sürümlerinde desteklenmeye devam etmektedir.
Son siber güvenlik araştırmaları, tehdit aktörleri arasındaki HTA tabanlı saldırılara olan ilginin yenilenmesini göstermektedir.
Hancitor kötü amaçlı yazılım ailesi ve çeşitli ulus devlet grupları, HTA dosyalarını saldırı zincirlerine dahil ederek, formatın PowerShell komutlarını yürütme, ek yükler indirme ve tehlikeye atılan sistemlere kalıcı erişim sağlama yeteneğinden yararlandı.
Saldırı metodolojisi geleneksel web sayfası tasarrufunun ötesine uzanır. Araştırmacılar, metin/HTML MIME tipleri ile HTML içeriği içeren veri URI’lerinin, tarayıcılardan kaydedildiğinde MOTW korumasını da atladığını gösterdiler.
Bu teknik, saldırganların kötü niyetli içeriği doğrudan URL’lere yerleştirmelerini sağlar ve harici barındırma altyapısı gerektirmeyen bağımsız saldırı vektörleri oluşturur.
Dosya ailesi, sosyal mühendislik taktiklerinde daha geniş bir evrimin bir kısmını temsil eder. Kullanıcıları sorun giderme adımları olarak gizlenmiş kötü amaçlı PowerShell komutlarını yürütmeye kandıran orijinal ClickFix tekniği, farklı işletim sistemlerini ve saldırı senaryolarını hedefleyen çok sayıda varyant ortaya çıkardı.
Güvenlik araştırmacıları, bu saldırıların oluşturulmasını otomatikleştiren ClickFix Builders araçlarının artık siber suçlu pazarlarda aktif olarak satıldığını belirtiyor.
Bu metalaşma, toplam saldırı hacmini artırırken, teknik olarak daha az sofistike tehdit aktörleri için giriş engelini düşürdü.
Siber güvenlik uzmanları birkaç acil savunma eylemi önermektedir. Kuruluşlar, HTA dosyalarını işleyen MSHTA.EXE yürütülebilir dosyasının kaldırılmasını veya kısıtlanmasını düşünmelidir, ancak bu, HTML uygulamalarına dayanan meşru iş uygulamalarını etkileyebilir.
Ek koruyucu önlemler arasında uygulama beyaz listesi uygulanması, sosyal mühendislik taktikleri hakkında kullanıcı eğitiminin geliştirilmesi ve şüpheli HTA yürütme modellerini tanımlayabilen uç nokta algılama sistemlerinin dağıtılması yer alır.
FileFix 2.0, sosyal mühendislik saldırılarında evrim ile ilgili bir evrim, tehdit aktörlerinin meşru sistem özelliklerinin yaratıcı sömürülmesi yoluyla güvenlik kontrollerini nasıl atlamaya devam ettiklerini gösteriyor.
Siber güvenlik topluluğu, Ai-gelişmiş tehditler ve giderek daha sofistike sosyal mühendislik kampanyaları ile boğuştukça, bu keşif, hem teknik güvenlik açıklarını hem de siber güvenlikte insan faktörlerini ele alan derinlemesine savunma stratejilerinin kritik öneminin altını çizmektedir.
Meşru tarayıcı işlevselliğinin kötü niyetli niyetle kesişmesi, geleneksel güvenlik varsayımlarına meydan okuyan ve uyarlanabilir savunma yaklaşımları gerektiren saldırı vektörleri oluşturur.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi