Una nueva variación sofisticada de los ataques cibernéticos surgió en julio de 2025, explotando una vulnerabilidad crítica en la forma en que Chrome y Microsoft Edge manejan la funcionalidad de guardado de la página web.
El ataque, denominado “FileFix 2.0”, evita la marca de seguridad de Windows (MOTW) aprovechando los mecanismos de guardado del navegador legítimo combinados con la ejecución de la aplicación HTML (HTA).
El descubrimiento se produce en medio de un aumento dramático en los ataques de ingeniería social este año.
Según el último Informe de amenaza de ESET, los ataques de ClickFix, el predecesor de FileFix, se disparó en un 517% en la primera mitad de 2025, convirtiéndose en el segundo vector de ataque más común después del phishing y que representa casi el 8% de todos los ataques bloqueados.
Este crecimiento explosivo demuestra una creciente dependencia de los actores de amenaza sobre la manipulación psicológica en lugar de las hazañas puramente técnicas.
La nueva variante de ataque explota un comportamiento previamente desconocido en los navegadores de Chrome y Microsoft Edge.
Cuando los usuarios guardan páginas web que usan Ctrl+S con “página web, archivo único” o formatos de “página web, completa” seleccionados, los archivos con HTML o XHTML+XML Tipos de MIME se guardan sin protección MOTW, la función de seguridad de Windows que advierte a los usuarios sobre archivos potencialmente peligrosos de Internet.
El investigador de ciberseguridad Mr.D0X, quien documentó por primera vez el ataque de archivo original, ahora ha revelado esto más insidioso variación Eso combina la funcionalidad del navegador con los archivos HTML Aplications (HTA).
A diferencia de los métodos tradicionales de entrega de malware, esta técnica no requiere que las víctimas deshabiliten las características de seguridad o ignoren los mensajes de advertencia.
Ingeniería social a través de códigos de respaldo falsos
El componente de ingeniería social del ataque es particularmente inteligente. Los actores de amenazas crean sitios web de aspecto legítimo que imitan los servicios en línea populares, mostrando lo que parece ser códigos de copia de seguridad de autenticación multifactor.
Las páginas instruyen a los usuarios que guarden los códigos localmente utilizando Ctrl+S, nombrando específicamente el archivo con una extensión “.hta” para “almacenamiento adecuado”.
La interfaz engañada presenta elementos familiares diseñados para parecerse a las páginas de autenticación de Google o Microsoft, completos con códigos de copia de seguridad numerados e instrucciones profesionales.
HTA a través de códigos de copia de seguridad
Las víctimas, creyendo que almacenan de forma segura las credenciales de seguridad necesarias, sin saberlo, descargan y ejecutan aplicaciones HTML maliciosas que pueden ejecutar comandos arbitrarios en sus sistemas.
MOTW tradicionalmente sirve como la primera línea de defensa de Windows contra las amenazas con descarga de Internet. Cuando los archivos llevan esta marca, Windows muestra advertencias de seguridad o bloquea la ejecución por completo.
Sin embargo, la técnica FileFix 2.0 evita esta protección a través del comportamiento legítimo del navegador. La vulnerabilidad proviene del manejo de los navegadores de tipos de MIME específicos durante la operación de guardado.
Si bien la mayoría de los tipos de archivos reciben protección MOTW, HTML y XHTML+XML contenido guardado a través del navegador “Guardar como la funcionalidad omite esta medida de seguridad por completo. Esto crea una vía de ejecución que parece legítima tanto para el software de seguridad como para los usuarios.
Archivos HTA: un vector de ataque persistente
Las aplicaciones HTML representan una característica de Windows heredado que continúa planteando riesgos de seguridad en 2025.
Estos archivos se ejecutan con privilegios completos del sistema, esencialmente funcionan como aplicaciones de escritorio mientras mantienen interfaces basadas en HTML. A pesar de su edad, los archivos HTA siguen siendo compatibles con todas las versiones de Windows, incluidos Windows 11.
La reciente investigación de ciberseguridad indica un renovado interés en los ataques basados en HTA entre los actores de amenaza.
La familia Hancitor Malware y varios grupos de estado-nación han incorporado archivos HTA en sus cadenas de ataque, aprovechando la capacidad del formato para ejecutar comandos de PowerShell, descargar cargas útiles adicionales y establecer un acceso persistente a los sistemas comprometidos.
La metodología de ataque se extiende más allá del ahorro de página web tradicional. Los investigadores han demostrado que los URI de datos que contienen contenido HTML con tipos MIME de texto/HTML también evitan la protección MOTW cuando se guardan a través de los navegadores.
Esta técnica permite a los atacantes incrustar contenido malicioso directamente dentro de las URL, creando vectores de ataque autónomo que no requieren infraestructura de alojamiento externo.
La familia FileFix representa parte de una evolución más amplia en tácticas de ingeniería social. La técnica original de ClickFix, que engaña a los usuarios para que ejecute comandos de PowerShell maliciosos disfrazados como pasos de solución de problemas, ha generado numerosas variantes dirigidas a diferentes sistemas operativos y escenarios de ataque.
Los investigadores de seguridad señalan que las herramientas de constructores de clickFix que automatizan la creación de estos ataques ahora se venden activamente en los mercados cibercriminales.
Esta mercantilización ha reducido la barrera de entrada para actores de amenazas menos sofisticados técnicamente al tiempo que aumenta el volumen general de ataques.
Los profesionales de ciberseguridad recomiendan varias acciones defensivas inmediatas. Las organizaciones deben considerar eliminar o restringir el ejecutable MSHTA.EXE que procesa los archivos HTA, aunque esto puede afectar las aplicaciones comerciales legítimas que dependen de las aplicaciones HTML.
Las medidas de protección adicionales incluyen implementar la aplicación blanca de aplicaciones, mejorar la educación de los usuarios sobre tácticas de ingeniería social e implementar sistemas de detección de puntos finales capaces de identificar patrones de ejecución de HTA sospechosos.
FileFix 2.0 representa una evolución preocupante en los ataques de ingeniería social, lo que demuestra cómo los actores de amenaza continúan encontrando formas novedosas para evitar los controles de seguridad a través de la explotación creativa de las características legítimas del sistema.
A medida que la comunidad de seguridad cibernética lidia con amenazas mejoradas con AI y campañas de ingeniería social cada vez más sofisticadas, este descubrimiento subraya la importancia crítica de las estrategias de defensa en profundidad que abordan tanto las vulnerabilidades técnicas como los factores humanos en la ciberseguridad.
La intersección de la funcionalidad legítima del navegador con intención maliciosa crea vectores de ataque que desafían los supuestos de seguridad tradicionales y requieren enfoques defensivos adaptativos.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
