FileFix es una nueva variante del ataque de ingeniería social conocido como ClickFix, diseñada para ejecutar comandos maliciosos desde la barra de direcciones del Explorador de Archivos en Windows. Descubierto por el investigador mr.d0x, este método no requiere exploits técnicos complejos, sino que se basa en el engaño al usuario para que realice acciones aparentemente inocuas. Aprovecha el hecho de que File Explorer puede ejecutar comandos del sistema si se insertan en su barra de direcciones.
Keypoints
FileFix es una nueva variante del ataque de ingeniería social conocido como ClickFix, diseñada para ejecutar comandos maliciosos desde la barra de direcciones del Explorador de Archivos en Windows. Descubierto por el investigador mr.d0x, este método no requiere exploits técnicos complejos, sino que se basa en el engaño al usuario para que realice acciones aparentemente inocuas. Aprovecha el hecho de que File Explorer puede ejecutar comandos del sistema si se insertan en su barra de direcciones.
Vectores de entrada
El ataque comienza con una página de phishing que simula una notificación legítima de archivo compartido. El usuario es invitado a “abrir el Explorador de Archivos” mediante un botón que lanza la función de subida de archivos del navegador. Esta acción copia un comando PowerShell al portapapeles e instruye al usuario a pegarlo en el Explorador. El truco: el comando malicioso se oculta dentro de un comentario con una ruta falsa que simula ser legítima, evadiendo la detección visual del usuario.
Detalles sobre campañas
FileFix aún no ha sido observado en campañas reales, pero su predecesor ClickFix ya ha sido utilizado por grupos criminales y APTs. Por ejemplo, el grupo norcoreano Kimsuky lo integró en una campaña que guiaba al usuario a ejecutar comandos desde PowerShell para registrarse en un supuesto dispositivo. Otro caso destacado: cibercriminales se hicieron pasar por Booking.com para infectar a empleados del sector hotelero con infostealers y RATs.
Malware y actores involucrados en el uso de ClickFix
Aunque FileFix no tiene aún atribuciones claras, ClickFix ha sido aprovechado en ataques con ransomware, infostealers y RATs, y ha sido observado en campañas de Kimsuky, un conocido actor estatal norcoreano. Su historial demuestra que los actores de amenazas estatales y criminales están muy atentos a nuevas técnicas como esta.
Contexto histórico de ClickFix
ClickFix se popularizó por su simulación de CAPTCHAs falsos o errores técnicos que pedían al usuario ejecutar comandos para «arreglar el problema». FileFix evoluciona esta técnica al utilizar un entorno más cotidiano para el usuario como lo es el Explorador de Archivos, elevando su tasa potencial de éxito.
Recomendaciones de Amber Solutions
Este tipo de ataques están directamente ligados a la ingeniería social, lo cual los hace difíciles de detectar con soluciones técnicas convencionales. Desde Amber Solutions, nuestros servicios de Pen Testing y Simulaciones de Phishing son clave para evaluar el grado de exposición de tu organización ante estos métodos. Además, nuestro equipo de Threat Intelligence puede ayudarte a detectar campañas activas relacionadas y generar alertas proactivas.
Recuerda: ataques como FileFix y ClickFix aprovechan la confianza del usuario en interfaces conocidas, por eso la concienciación, la simulación y el monitoreo continuo son fundamentales. FileFix no requiere vulnerabilidades, solo descuidos. Y aquí es donde Amber Solutions puede ayudarte a anticiparte antes de que sea tarde.
FileFix es la evolución del ClickFix, y todo apunta a que pronto veremos campañas reales aprovechando esta técnica.
