La ingeniería social sigue evolucionando, y ahora los ciberdelincuentes han encontrado una forma de ocultar malware en la memoria caché del navegador para burlar las defensas más avanzadas. Este nuevo método, conocido como FileFix, fue detectado recientemente por investigadores de Expel y ya preocupa a expertos en ciberseguridad por su capacidad de pasar inadvertido ante soluciones antivirus tradicionales.
En TecnetOne, te explicamos cómo funciona este ataque, por qué es tan peligroso y qué puedes hacer para proteger tu organización.
El ataque FileFix es una evolución del conocido ClickFix, un tipo de ingeniería social diseñado por el investigador “Mr.d0x”.
A diferencia de los métodos tradicionales que engañan al usuario para ejecutar comandos maliciosos desde el sistema operativo, FileFix usa el Explorador de archivos de Windows como vehículo de ataque.
En pocas palabras: el atacante convence a la víctima de copiar y pegar una ruta aparentemente inofensiva, pero que en realidad ejecuta un script de PowerShell oculto en la misma línea.
La versión más reciente, descubierta por el investigador Marcus Hutchins (Expel), agrega un componente mucho más sofisticado: el “cache smuggling”, una técnica que aprovecha el almacenamiento del navegador para introducir archivos maliciosos sin que el usuario ni el antivirus lo detecten.
Lee más: Ataque CacheWarp: Vulnerabilidad Crítica en AMD SEV Descubierta
El ataque comienza con una página web falsa que se hace pasar por un verificador de cumplimiento de VPN de Fortinet, conocida como “Fortinet VPN Compliance Checker”.
El sitio muestra un cuadro con instrucciones para copiar una ruta de red supuestamente legítima:
\\Public\Support\VPN\ForticlientCompliance.exe
A simple vista parece un camino normal hacia un archivo corporativo, pero lo que el usuario no ve es que la línea contiene 139 espacios ocultos seguidos de un comando de PowerShell malicioso.
Cuando el usuario sigue las instrucciones, abre el Explorador de archivos, pega la ruta y presiona Enter, Windows ejecuta el comando escondido sin mostrar nada visible en pantalla.
El resultado: el script de PowerShell se ejecuta en modo “headless” (sin ventana) y comienza a preparar el entorno para la infección.
Archivo de verificación de cumplimiento de VPN de Fortinet FileFix (Fuente: Expel)
Una vez activado, el script realiza una serie de pasos automatizados:
Este proceso ocurre en cuestión de segundos, y como el archivo ya estaba almacenado en la caché, el script no necesita conectarse a internet ni descargar nada.
Cómo aparece un comando copiado en la barra de direcciones del Explorador de archivos (Fuente: Expel)
El cache smuggling o “contrabando de caché” es la parte más innovadora (y peligrosa) de este ataque.
Cuando la víctima entra a la página falsa, un script de JavaScript le ordena al navegador descargar una supuesta imagen JPEG.
El servidor responde diciendo que es una imagen legítima, por lo que el navegador la guarda automáticamente en su caché.
Sin embargo, el archivo no es una imagen, sino un ZIP con malware oculto.
Cuando el comando de PowerShell se ejecuta más tarde, el malware ya está dentro del sistema, almacenado de forma aparentemente inocente en la carpeta de caché.
Como ni el sitio ni el script descargan archivos de forma explícita, los sistemas de seguridad que analizan descargas o tráfico sospechoso no detectan nada anormal.
En palabras de Marcus Hutchins:
“El malware logra introducir un ZIP completo en el sistema local sin que PowerShell haga ninguna solicitud web. Es un ataque que pasa completamente desapercibido para muchas soluciones de seguridad.”
Interfaz del generador IUAM ClickFix (Fuente: Unit 42)
El éxito del ataque FileFix depende de un solo factor: la interacción humana.
Los atacantes utilizan sitios con diseños profesionales y logotipos legítimos para inspirar confianza.
Incluso imitan la apariencia de marcas reconocidas como Fortinet, Cloudflare, Microsoft, TradingView o Teams, todas muy utilizadas en entornos corporativos.
En los casos investigados, los atacantes pedían a los usuarios seguir pasos “técnicos” para “verificar el cumplimiento de seguridad VPN”. Este lenguaje formal hace que las víctimas bajen la guardia y obedezcan las instrucciones sin sospechar.
El informe también reveló la existencia de una herramienta llamada “IUAM ClickFix Generator”, creada para automatizar la generación de ataques de este tipo.
Este kit, identificado por investigadores de Palo Alto Unit 42, permite a los atacantes:
Las campañas que usan este generador ya han distribuido malware como DeerStealer (Windows), Odyssey (Mac) y otros stealers diseñados para robar credenciales y datos personales.
Cebo de Microsoft ClickFix (Fuente: BleepingComputer)
En TecnetOne, sabemos que los ataques de ingeniería social son tan efectivos como difíciles de detener. Por eso, la prevención y la educación del usuario son tus mejores defensas.
Aquí tienes las medidas clave que debes adoptar:
También podría interesarte: Ataque de Envenenamiento de Caché
El ataque FileFix demuestra que los ciberdelincuentes no necesitan romper las barreras de los firewalls ni usar exploits sofisticados para infiltrarse en los sistemas.
A veces basta con aprovechar la confianza del usuario y las funciones normales del navegador para introducir malware de forma silenciosa.
El uso de técnicas como cache smuggling marca una nueva generación de amenazas que no dependen de descargas visibles ni archivos ejecutables tradicionales.
Desde TecnetOne, te recomendamos adoptar una postura proactiva: fortalecer tus controles, monitorear el comportamiento de tus endpoints y, sobre todo, educar a los usuarios para que piensen antes de hacer clic.