Hace poco apareció la técnica de ataque conocida como ClickFix, un método ingenioso (y malicioso) de ingeniería social que buscaba engañar al usuario para ejecutar código peligroso a través del diálogo “Ejecutar” de Windows. Pues bien, los ciberdelincuentes no descansan, y los investigadores de seguridad han detectado un nuevo y sutil giro que han bautizado como FileFix.
Este nuevo enfoque mantiene el objetivo principal: lograr que la víctima ejecute código malicioso de forma involuntaria en su propio equipo. La diferencia, y el motivo de su peligro, reside en el vector de ejecución, es decir, las herramientas usadas. Si con ClickFix se usaba la ventana de Ejecutar (Win + R), con FileFix, el foco pasa a ser la familiar barra de direcciones del Explorador de archivos de Windows. Y lo que es familiar, a menudo, se percibe como menos peligroso.
¿Qué es exactamente FileFix?
El principio de la ingeniería social detrás de FileFix es idéntico al de ClickFix, pero la acción solicitada al usuario es mucho menos sospechosa.
El principio básico
Engañar al usuario para que crea que está realizando una acción de diagnóstico o solución de problemas completamente benigna, cuando en realidad está lanzando un script malicioso.
El vector de ataque
En lugar de utilizar una herramienta de sistema como “Ejecutar”, los atacantes piden a la víctima que pegue un supuesto "comando" en la barra de direcciones del Explorador de archivos. Abrir una carpeta y pegar una ruta es una acción cotidiana para muchos usuarios, lo que reduce la probabilidad de que se levanten sospechas.
La mecánica
El ataque se basa en manipular la interfaz visible. El usuario recibe una larga cadena de texto para copiar. Gracias a una gran cantidad de espacios insertados estratégicamente, el inicio del comando malicioso queda oculto, y solo es visible al final una ruta de archivo de aspecto inofensivo (de ahí el nombre "FileFix"). La longitud de la cadena es superior a lo que puede mostrar la barra de direcciones, revelando solo el texto "benigno".
Esta táctica explota la confianza del usuario en una herramienta de uso diario y en su percepción de lo que es una "ruta de archivo" válida, haciéndola particularmente efectiva contra quienes no están familiarizados con este tipo de trampas.
Modus operandi
El modus operandi del ataque de FileFix es una auténtica clase magistral de manipulación:
1. El phishing inicial
El usuario es dirigido, generalmente a través de un correo electrónico de phishing bien elaborado, a una página web que simula ser un servicio online legítimo (un portal de correo, una herramienta corporativa, etc.). Esta página muestra un mensaje de error que bloquea la funcionalidad normal.
2. La solución engañosa
Para "arreglar" el problema y recuperar el acceso, se indica al usuario que debe realizar un proceso de "verificación del entorno" o "diagnóstico". El atacante asegura que hay que ejecutar un archivo que ya se encuentra en el equipo o que se ha descargado automáticamente.
3. Copiar la carga útil oculta
Se le solicita a la víctima que copie la supuesta "ruta al archivo local" que aparece en un campo de la web falsa. La trampa reside en este campo:
- Contiene la ruta del archivo benigna (el FileFix) al final.
- Antes de esta ruta visible, se encuentran numerosos espacios en blanco.
- Justo al inicio, antes de los espacios, está la verdadera carga maliciosa, que a menudo es un script de PowerShell oculto.
Consecuencias
Una vez que el usuario legítimo ejecuta el script de PowerShell, la puerta queda abierta para que los atacantes hagan estragos.
- Activación de PowerShell: El script inicial puede ser el comando para iniciar una aplicación del sistema (como
conhost.exe) y ejecutar, sin que el usuario se dé cuenta, un código avanzado. - Ejecución sigilosa (Cache Smuggling): En casos detectados, los atacantes han recurrido a una técnica denominada "cache smuggling". El mismo sitio web de phishing deposita un archivo malicioso, a menudo disfrazado de inofensivo JPEG, en la caché del navegador. Luego, el script de PowerShell se encarga de extraer este archivo comprimido con malware y lo ejecuta.
Este método es muy peligroso porque evita descargas directas y solicitudes de red sospechosas, lo que dificulta enormemente su detección por parte de soluciones de seguridad más simples.
Defensa contra FileFix y ClickFix
Aunque bloquear el atajo Win + R podía ser una solución viable para ClickFix, FileFix es más complejo. No solo es problemático por su uso legítimo en otras aplicaciones, sino que los atacantes simplemente instruirían al usuario a hacer clic en la barra de direcciones.
Por lo tanto, la defensa debe ser doble y mucho más robusta. La tecnología de seguridad es fundamental, pero el factor humano es la primera línea de defensa. Es esencial realizar formación periódica a todos los empleados sobre las ciberamenazas más modernas. Deben entender la mecánica de los ataques de ingeniería social como ClickFix y FileFix, y aprender a sospechar de cualquier instrucción inesperada que les pida copiar y pegar comandos en ventanas de sistema o barras de direcciones.
La mejor defensa es la combinación de una tecnología que detenga el código malicioso y un usuario que, gracias a la formación y la informacion, sepa identificar el anzuelo antes de morder.