Una nueva técnica de ingeniería social llamada “FileFix” que explota la funcionalidad de la barra de direcciones de archivos de Windows para ejecutar comandos maliciosos, presentando una alternativa peligrosa al método de ataque de ClickFix cada vez más popular.
La técnica, descubierta por el investigador de seguridad Mr.D0X, aprovecha la funcionalidad de carga del archivo del navegador para abrir el explorador de archivos de Windows y engaña a los usuarios para que ejecute comandos de PowerShell a través de la barra de direcciones en lugar del diálogo tradicional de Windows Ejecutar.
Fuente de ejecución de comandos: Mr.D0x
Este método evita muchos programas de capacitación de concientización sobre la seguridad que se centran en reconocer los ataques de diálogo ejecutivos.
Los ataques de ClickFix han surgido como una amenaza significativa desde principios de 2024, con empresas de ciberseguridad que informan un aumento en estas campañas de ingeniería social.
La técnica generalmente implica mensajes de error falsos o solicita Captcha que instruya a los usuarios que copien y pegan comandos maliciosos en el cuadro de diálogo Ejecutar Windows (Key de Windows + R).
Según los recientes informes de inteligencia de amenazas, se han observado campañas de ClickFix distribuyendo varias familias de malware, incluidas Asyncrat, Darkgate, Lumma Stealer y NetSupport Rat.
Los ataques han sido adoptados por múltiples actores de amenazas, desde ciberdelincuentes individuales hasta grupos de estado-nación como APT28 vinculado a Rusia y Muddywater ligado a Irán.
Cómo FileFix Explota archivos Explorer
El método de ataque FileFix comienza con una página web de phishing convincente que imita los servicios legítimos de intercambio de archivos. Cuando los usuarios hacen clic en un botón “Abrir archivos Explorer”, JavaScript copia automáticamente un comando Malicioso PowerShell al portapapeles mientras se desencadena simultáneamente el cuadro de diálogo de carga del archivo del navegador.
Flujo de ataque: créditos de imagen (CybersecurityNews.com)
La funcionalidad de carga de archivos hace que se abra el explorador de archivos de Windows, momento en el cual el ataque se basa en la ingeniería social para guiar a los usuarios a través del proceso de ejecución.
La página web maliciosa proporciona instrucciones para que los usuarios peguen lo que creen que es una ruta de archivo en la barra de direcciones del explorador de archivos usando Ctrl+L, pero el portapapeles en realidad contiene un comando oculto de PowerShell, Mr.D0X dicho.
Un aspecto clave del ataque implica la ofuscación del comando, donde el script de PowerShell malicioso se concatena con una ruta de archivo falso después de un símbolo de comentarios, lo que hace que parezca legítimo para los usuarios desprevenidos. Por ejemplo: PowerShell.exe -C Ping Ejemplo.com # C: \\ Company \\ Interna -Secure \\ Filedrive \\ hrpolicy.docx
El ataque explota la capacidad del explorador de archivos de Windows para ejecutar comandos directamente desde la barra de direcciones, una característica de la que muchos usuarios desconocen.
Los investigadores de seguridad han documentado cómo File Explorer puede ejecutar varios comandos del sistema, incluidos PowerShell, el símbolo del sistema y otras utilidades, cuando se ingresa en la barra de direcciones.
Los investigadores también han identificado una variación secundaria que implica descargar archivos ejecutables y aprovechar el hecho de que los programas ejecutados a través de la barra de direcciones del explorador de archivos tienen su marca del atributo Web (MOTW) eliminado. Esto podría evitar ciertos controles de seguridad que dependen de MOTW para la detección de amenazas.
La técnica FILEFIX representa una evolución en los ataques de ingeniería social, que se va más allá del método tradicional de clickfix mientras mantiene una efectividad similar. El ataque es particularmente preocupante porque funciona completamente dentro del entorno del navegador y se basa en la funcionalidad legítima de Windows.
Los expertos en ciberseguridad recomiendan monitorear procesos infantiles sospechosos generados por navegadores, particularmente CMD.exe y PowerShell.exe, así como otras utilidades del sistema. Las organizaciones también deben actualizar su capacitación en conciencia de seguridad para incluir vectores de ataque basados en exploradores de archivos junto con técnicas de diálogo de ejecución tradicionales.
A medida que los ataques de phishing continúan evolucionando con un aumento de 202% en los mensajes generales de phishing en 2024, el surgimiento de FileFix demuestra cómo los actores de amenaza adaptan continuamente sus técnicas para evitar las medidas de seguridad y los programas de concientización de usuarios.
La simplicidad y la efectividad de estos ataques basados en el navegador subrayan el desafío continuo de defender contra las campañas de ingeniería social dirigida a los humanos.
Ataque de credenciales en vivo Unmask y defensa instantánea – Seminario web gratuito
