Los investigadores de ciberseguridad han listo sobre una nueva campaña que está aprovechando una variación de la táctica de ingeniería social de FileFix para entregar el malware del robador de información de Stealc.
«La campaña observada utiliza un sitio de phishing multilingüe en gran medida convincente (por ejemplo, página de seguridad falsa de Facebook), con técnicas anti-análisis y una ofuscación destacamento para eludir la detección», dijo el investigador de seguridad de Acronis, Kimhy, en un documentación compartido con The Hacker News.
En un stop nivel, la cautiverio de ataque implica el uso de FileFix para atraer a los usuarios a editar una carga útil auténtico que luego procede a descargar imágenes aparentemente inocuas que contienen los componentes maliciosos de un repositorio de Bitbucket. Esto permite a los atacantes extralimitarse de la confianza asociada con una plataforma de alojamiento de código fuente genuino para evitar la detección.
FileFix, documentado por primera vez por el investigador de seguridad MRD0X como una prueba de concepto (POC) en junio de 2025, es un poco diferente de ClickFix en el sentido de que evita la condición de que los usuarios inicien el diálogo de Windows Ejecutar y peguen un comando ofuscado ya copiado para completar las verificaciones Bogus Captcha de demostración en las páginas de phishing configuradas para este propósito.
En cambio, aprovecha la función de carga de archivos de un navegador web para engañar a los usuarios para que copien y pegan un comando en la mostrador de direcciones del explorador de archivos, lo que hace que se ejecute localmente en la máquina de la víctima.
El ataque comienza con un sitio de phishing al que la víctima es probable que sea redirigida de un mensaje de correo electrónico que advierte a los destinatarios de la posible suspensión de sus cuentas de Facebook a posteriori de una semana, alegando que las publicaciones o mensajes compartidos violan sus políticas. Luego se les pide a los usuarios que apelen la osadía haciendo clic en un mando.
La página de phishing no solo está muy ofuscada, sino que además recurre a técnicas como el código de basura y la fragmentación para obstaculizar los esfuerzos de descomposición.
El ataque de FileFix entra en serie una vez que se hace clic en el mando, momento en el que se muestra la víctima un mensaje que indica que puede entrar a una traducción en PDF de la supuesta violación de la política copiando y pegando una ruta al documento en la mostrador de direcciones del Explorador del archivo.
Si proporcionadamente la ruta proporcionada en la instrucción parece completamente inofensiva, haciendo clic en el mando «Copiar» en existencia copia un comando desconfiado que se sufre con espacios adicionales, de modo que solo se muestra la ruta del archivo cuando se pegan en el explorador de archivos al abrirlo usando el mando «Destapar explorador de archivos».
Este comando es un script PowerShell de varias etapas que descarga la imagen mencionada anteriormente, la decodifica en la carga útil de la próxima etapa y finalmente ejecuta un cargador basado en GO que desempaqueta Shellcode responsable de editar STEALC.
FileFix además ofrece una preeminencia crucial sobre ClickFix, ya que abusa de una función de navegador ampliamente utilizada en punto de desplegar el diálogo Ejecutar (o la aplicación Terminal en caso de Apple MacOS), que podría ser bloqueada por un administrador del sistema como medida de seguridad.
«Por otro costado, una de las cosas que hace que ClickFix sea tan difícil de detectar en primer punto es que se genera de Explorer.exe a través del diálogo Ejecutar, o directamente desde un terminal, mientras que con FileFix, la carga útil es ejecutada por el navegador web utilizado por el de la víctima, que tiene mucho más probabilidades de destacar en una investigación o a un producto de seguridad», según el navegador web.
«El adversario detrás de este ataque demostró una inversión significativa en Tradecraft, ingeniosamente ingeniosamente la infraestructura de phishing, la entrega de carga útil y los medios de apoyo para maximizar tanto la diversión como el impacto».
La divulgación se produce cuando Doppel detalló otra campaña que se ha observado utilizando una combinación de portales de soporte falsos, páginas de error de Cloudflare Captcha y secuestro de portapapeles, es aseverar, ClickFix, para diseñar socialmente a las víctimas para ejecutar el código de Powershell desconfiado que descarga y ejecuta un script Autohotkey (AHK).
El script está diseñado para perfilar el host comprometido y entregar cargas avíos adicionales, incluidos Anydesk, TeamViewer, los robadores de información y el malware Clipper.
La compañía de seguridad cibernética dijo que además observó otras variantes de la actividad donde las víctimas están guiadas para ejecutar un comando MSHTA que apunta a un dominio de Google lookalike («WL.google-587262 (.) Com»), que luego recupera y ejecuta un divisa desconfiado remoto.
«AHK es un verbo de secuencias de comandos basado en Windows diseñado originalmente para automatizar tareas repetitivas como pulsaciones de teclas y clics del mouse», señaló el investigador de seguridad de Doppel, Aarsh Jawa.
«Si proporcionadamente durante mucho tiempo ha sido popular entre los usuarios avanzados y los administradores del sistema por su simplicidad y flexibilidad, los actores de amenazas comenzaron a armarse AHK rodeando de 2019 para crear goteros de malware livianos y robos de información. Estos scripts maliciosos a menudo se disfrazan de herramientas de automatización benignas o utilidades de soporte».
