Los investigadores de ciberseguridad han advertido sobre una nueva campaña que está aprovechando una variante de FileFix Táctica de ingeniería social para entregar el Robo Malware de robador de información.
«La campaña observada utiliza un sitio de phishing multilingüe altamente convincente (por ejemplo, página de seguridad falsa de Facebook), con técnicas anti-análisis y una ofuscación avanzada para evadir la detección», el investigador de seguridad de Acronis, Eliad Kimhy, dicho En un informe compartido con The Hacker News.
En un alto nivel, la cadena de ataque implica el uso de FileFix para atraer a los usuarios a lanzar una carga útil inicial que luego procede a descargar imágenes aparentemente inocuas que contienen los componentes maliciosos de un repositorio de Bitbucket. Esto permite a los atacantes abusar de la confianza asociada con una plataforma de alojamiento de código fuente legítimo para evitar la detección.
Filefix, Primero documentado Por el investigador de seguridad MRD0X como prueba de concepto (POC) en junio de 2025, es un poco diferente de Clickfix En el sentido de que evita la necesidad de que los usuarios inicien el diálogo de Windows Ejecutar y peguen un comando ofuscado ya copiado para completar las verificaciones falsas de verificación Captcha en las páginas de phishing configuradas para este propósito.
En cambio, aprovecha la función de carga de archivos de un navegador web para engañar a los usuarios para que copien y pegan un comando en la barra de direcciones del explorador de archivos, lo que hace que se ejecute localmente en la máquina de la víctima.
El ataque comienza con un sitio de phishing al que la víctima es probable que sea redirigida de un mensaje de correo electrónico que advierte a los destinatarios de la posible suspensión de sus cuentas de Facebook después de una semana, alegando que las publicaciones o mensajes compartidos violan sus políticas. Luego se les pide a los usuarios que apelen la decisión haciendo clic en un botón.
La página de phishing no solo está muy ofuscada, sino que también recurre a técnicas como el código de basura y la fragmentación para obstaculizar los esfuerzos de análisis.
El ataque de FileFix entra en juego una vez que se hace clic en el botón, momento en el que se muestra la víctima un mensaje que indica que puede acceder a una versión en PDF de la supuesta violación de la política copiando y pegando una ruta al documento en la barra de direcciones del Explorador del archivo.
Si bien la ruta proporcionada en la instrucción es completamente inofensiva, un comando malicioso se copia subrepticiamente en el portapapeles del usuario cuando hacen clic en el botón en la página para abrir el explorador de archivos. Este comando es un script de PowerShell de varias etapas que descarga la imagen mencionada anteriormente, la decodifica en la carga útil de la siguiente etapa y finalmente ejecuta un cargador basado en GO que desempaqueta Shellcode responsable de lanzar STEALC.
FileFix también ofrece una ventaja crucial sobre ClickFix, ya que abusa de una función de navegador ampliamente utilizada en lugar de abrir el diálogo Ejecutar (o la aplicación Terminal en caso de Apple MacOS), que podría ser bloqueada por un administrador del sistema como medida de seguridad.
«Por otro lado, una de las cosas que hace que ClickFix sea tan difícil de detectar en primer lugar es que se genera de Explorer.exe a través del diálogo Ejecutar, o directamente desde un terminal, mientras que con FileFix, la carga útil es ejecutada por el navegador web utilizado por el de la víctima, que tiene mucho más probabilidades de destacar en una investigación o a un producto de seguridad», según el navegador web.
«El adversario detrás de este ataque demostró una inversión significativa en Tradecraft, ingeniosamente ingeniosamente la infraestructura de phishing, la entrega de carga útil y los elementos de apoyo para maximizar tanto la evasión como el impacto».
La divulgación se produce cuando Doppel detalló otra campaña que se ha observado utilizando una combinación de portales de soporte falsos, páginas de error de Cloudflare Captcha y secuestro de portapapeles, es decir, ClickFix, para diseñar socialmente a las víctimas para ejecutar el código de Powershell malicioso que descarga y ejecuta un script Autohotkey (AHK).
El script está diseñado para perfilar el host comprometido y entregar cargas útiles adicionales, incluidos Anydesk, TeamViewer, los robadores de información y el malware Clipper.
La compañía de seguridad cibernética dijo que también observó otras variantes de la actividad donde las víctimas están guiadas para ejecutar un comando MSHTA que apunta a un dominio de Google parecido («WL.google-587262[.]com «), que luego recupera y ejecuta un script malicioso remoto.
«AHK es un lenguaje de secuencias de comandos basado en Windows originalmente para automatizar tareas repetitivas como pulsaciones de teclas y clics del mouse», el investigador de seguridad de Doppel Aarsh Jawa anotado.
«Si bien durante mucho tiempo ha sido popular entre los usuarios avanzados y los administradores del sistema por su simplicidad y flexibilidad, los actores de amenazas comenzaron a armarse AHK alrededor de 2019 para crear goteros de malware livianos y robos de información. Estos scripts maliciosos a menudo se disfrazan de herramientas de automatización benignas o utilidades de soporte».
Fuente