Los ciberdelincuentes continúan refinando sus métodos de ataque, y la última innovación en el panorama de amenazas es la técnica FileFix. Esta evolución de los ataques ClickFix representa una nueva forma de engañar a los usuarios para que instalen malware en sus sistemas, utilizando interfaces familiares que reducen significativamente las sospechas de las víctimas potenciales.
El Crecimiento Explosivo de las Técnicas ClickFix
Antes de analizar FileFix, es crucial entender el contexto de su predecesor. Los ataques ClickFix han experimentado un crecimiento del 517% desde la segunda mitad de 2024 hasta la primera mitad de 2025, según datos de ESET. Esta técnica de ingeniería social dirige a las víctimas hacia sitios web fraudulentos donde se les engaña para copiar y ejecutar comandos maliciosos de PowerShell.
Los atacantes motivan a los usuarios a realizar acciones sospechosas bajo el pretexto de resolver problemas de visualización del navegador o completar verificaciones CAPTCHA falsas. Aunque inicialmente se dirigían a usuarios de Windows, los expertos en seguridad han documentado campañas que también afectan a usuarios de macOS y Linux.
FileFix: Una Evolución Sofisticada en Ingeniería Social
La técnica FileFix, documentada recientemente por el experto en seguridad mr.d0x, representa una mejora significativa sobre los métodos ClickFix tradicionales. La principal diferencia radica en su uso del Explorador de Archivos de Windows, una interfaz con la que los usuarios están completamente familiarizados, en lugar de la línea de comandos que puede generar sospechas.
El proceso de ataque funciona de la siguiente manera: la página maliciosa informa al usuario sobre un archivo compartido que necesita ser localizado. Para encontrarlo, se solicita a la víctima que copie una ruta específica y la pegue en el Explorador de Archivos. La página de phishing puede incluir un botón «Abrir Explorador» que, al ser presionado, ejecuta automáticamente el File Explorer y copia el comando PowerShell malicioso al portapapeles.
El Grupo Interlock y su Infraestructura de Distribución
El grupo de ransomware Interlock ha sido identificado como uno de los primeros adoptantes de esta técnica. Los investigadores de The DFIR Report y Proofpoint alertaron en mayo de 2025 sobre la distribución del RAT (Trojan de Acceso Remoto) Interlock a través de KongTuke (LandUpdate808), un complejo sistema de distribución de tráfico (TDS).
En junio, los atacantes realizaron una transición estratégica hacia FileFix, comenzando a distribuir una variante PHP del RAT Interlock. En algunos casos, también se ha observado la distribución de versiones Node.js del malware. Este representa el primer uso públicamente documentado de la táctica FileFix en ataques reales.
Capacidades y Comportamiento del Malware
Una vez ejecutado exitosamente, el trojan de acceso remoto recopila información detallada del sistema utilizando comandos PowerShell para la recolección y transmisión de datos a los operadores. El malware verifica los privilegios del usuario conectado y establece persistencia en el sistema para aguardar comandos adicionales.
Los investigadores han observado que los atacantes operan el malware manualmente, examinando copias de seguridad, navegando por directorios locales y verificando controladores de dominio. En varios casos, los atacantes han utilizado RDP (Remote Desktop Protocol) para el movimiento lateral dentro de los entornos comprometidos.
Explotación de Servicios Legítimos para Evasión
Para su servidor de comando y control, el malware aprovecha trycloudflare.com, abusando del servicio legítimo Cloudflare Tunnel para enmascarar su actividad. Esta estrategia permite a los ciberdelincuentes evadir los sistemas tradicionales de detección y bloqueo, demostrando una sofisticación técnica considerable.
La aparición de FileFix subraya la evolución continua de las técnicas de ingeniería social en el arsenal de los ciberdelincuentes. Las organizaciones deben intensificar la formación de sus empleados en fundamentos de ciberseguridad, especialmente en el reconocimiento de páginas web sospechosas y solicitudes de ejecución de comandos del sistema. La implementación de actualizaciones regulares de sistemas de protección y la adopción de estrategias de seguridad multicapa siguen siendo medidas críticas para contrarrestar estas amenazas emergentes y proteger la infraestructura digital empresarial.
