A Check Point Research , identificou uma nova e perigosa técnica de engenharia social chamada FileFix, que já está sendo testada ativamente por grupos cibercriminosos. Segundo a organização, essa abordagem representa uma evolução da tática conhecida como ClickFix, mas com uma execução ainda mais sutil e disfarçada.
De acordo com o estudo, embora o ClickFix induzia usuários a colarem comandos maliciosos no menu “Executar” do Windows, o FileFix explora a confiança do usuário no próprio Explorador de Arquivos do Windows. A técnica começa com a abertura de uma janela legítima do Explorador a partir de uma página web maliciosa. Em seguida, um comando PowerShell disfarçado como um simples caminho de diretório é silenciosamente copiado para a área de transferência. Ao colar esse conteúdo na barra de endereços do Explorador, o comando é executado sem qualquer aviso visível.
“Os cibercriminosos começaram a usar o FileFix menos de duas semanas após sua divulgação, o que mostra a rapidez com que esses grupos se adaptam. Assim como o ClickFix, essa técnica não depende de falhas sofisticadas, mas sim da manipulação de comportamentos rotineiros. Ao substituir a janela ‘Executar’ pelo Explorador de Arquivos, os atacantes se escondem à vista de todos, tornando a detecção mais difícil e a ameaça mais perigosa”, afirma Eli Smadja, gerente de pesquisa em segurança da Check Point Software.
A pesquisa apontou que essa técnica não explora vulnerabilidades, mas sim a confiança do usuário em ações rotineiras do sistema operacional. Em apenas duas semanas após a divulgação pública da técnica, pesquisadores da Check Point Research detectaram sua aplicação em campanhas reais, inclusive por um ator de ameaça conhecido por ataques a plataformas de criptomoedas. A investigação deles também identificou o grupo KongTuke utilizando o mesmo método em uma campanha recente.
O grupo cibercriminoso responsável pelo uso do FileFix também esteve por trás de ataques anteriores com ClickFix, segundo a análise. Seus métodos incluem o uso de SEO Poisoning, que manipula resultados de busca para atrair vítimas, e páginas de phishing que simulam telas de verificação CAPTCHA, muitas vezes com visual semelhante ao da Cloudflare. As páginas maliciosas são localizadas em múltiplos idiomas, como inglês, coreano, eslovaco e russo, o que amplia significativamente o alcance das campanhas
Infraestrutura em operação
Os especialistas afirmaram que embora os primeiros testes com FileFix envolvam cargas benignas, já foi observada uma movimentação para o uso da técnica com malwares reais, como trojans de acesso remoto (RATs), stealers e loaders. Em 6 de julho passado, foi detectado um novo domínio hospedando uma página de phishing com o mesmo padrão de campanhas anteriores, indicando que a infraestrutura necessária para ataques em escala já está ativa.
