Ransomware Interlock Adopta el Método FileFix para Distribuir Malware
Alexander Chapellin 07/14/2025 Malware, Ciberataque
4 Minutos

El grupo de ransomware Interlock está subiendo de nivel. Ahora están usando una nueva táctica llamada FileFix en sus ataques, y no es para arreglar archivos, precisamente. Esta técnica les permite colar en los sistemas infectados un troyano de acceso remoto (RAT), dándoles el control total de las máquinas víctimas.

En los últimos meses, se ha notado un fuerte aumento en las actividades de Interlock. ¿La razón? El grupo detrás de este ransomware ha empezado a usar un inyector web llamado KongTuke (también conocido como LandUpdate808), que les permite distribuir malware a través de sitios web previamente comprometidos.

Este nuevo enfoque no ha pasado desapercibido. Investigadores de The DFIR Report y Proofpoint detectaron desde mayo que los sitios comprometidos pedían a los usuarios que completaran una supuesta verificación CAPTCHA falsa.

Después de eso, se les instruía que pegaran automáticamente un texto (copiado en segundo plano) en la ventana de Ejecutar de Windows. Este truco forma parte de una técnica conocida como ClickFix, una forma de ataque que busca engañar al usuario para ejecutar código malicioso sin darse cuenta.

 

La evolución de Interlock: De PowerShell a FileFix como método de ataque

 

El engaño no es cualquier cosa: lleva a los usuarios a ejecutar sin saberlo un script de PowerShell, que descarga e inicia una versión de Interlock RAT basada en Node.js. En otras palabras, los atacantes obtienen acceso total con un solo clic.

Pero la historia no termina ahí. En junio, los investigadores descubrieron otra variante, esta vez escrita en PHP, que también se estaba usando activamente. ¿Cómo la distribuían? A través del mismo inyector web malicioso, KongTuke.

Lo más interesante (y preocupante) es que, a comienzos de este mes, se detectó un cambio importante en la forma en que Interlock entrega su malware. Ahora han adoptado de lleno una variación del ataque ClickFix, conocida como FileFix, convirtiéndola en su nuevo método favorito para infectar a sus víctimas.

 

FileFix: La nueva táctica de ingeniería social que usan los ciberatacantes

 

FileFix es una técnica relativamente nueva dentro del arsenal de la ingeniería social, y está ganando terreno rápidamente. Derivada de un método anterior llamado ClickFix, esta variación ha evolucionado hasta convertirse en una de las formas más utilizadas para distribuir malware de manera silenciosa, engañosa y sorprendentemente efectiva.

 

¿Cómo funciona FileFix?

 

La clave de FileFix está en su capacidad para aprovechar la interfaz de Windows, usando elementos familiares como el Explorador de archivos o los archivos .HTA (aplicaciones HTML). En lugar de depender de archivos adjuntos o enlaces sospechosos, el atacante se gana la confianza del usuario al imitar una acción aparentemente legítima.

El truco es sencillo, pero ingenioso: se pide al usuario que “abra un archivo” pegando lo que parece una ruta de acceso en la barra de direcciones del Explorador de archivos. En realidad, esa cadena es un comando de PowerShell disfrazado, que utiliza sintaxis de comentarios para parecer inofensiva. Al ejecutarla, se inicia sin que el usuario lo sepa una descarga de malware, sin que Windows emita ninguna alerta de seguridad.

 

Interlock y FileFix: Una combinación peligrosa

 

En los ataques recientes vinculados al ransomware Interlock, los cibercriminales han adoptado esta técnica para infectar dispositivos sin levantar sospechas. El proceso es el siguiente:

 

  1. A la víctima se le muestra un mensaje indicando que necesita “reparar” o “acceder” a un archivo.

  2. Se le pide que pegue un supuesto camino de archivo en el Explorador.

  3. Esa ruta, en realidad, ejecuta un comando oculto que descarga una herramienta de acceso remoto (RAT) desde trycloudflare.com, disfrazada de tráfico legítimo.

  4. El sistema queda comprometido y comienza la recopilación de datos sensibles.

 

ataque interlock

Ataque FileFix de Interlock (Fuente: Informe DFIR)

 

Conoce más sobre: Hackers Prueban Ataques ClickFix contra Objetivos en Linux y macOs

 

¿Qué hace el malware una vez dentro?

 

Una vez que el RAT basado en PHP se ejecuta, comienza a recolectar todo tipo de información sobre el sistema y la red. Utiliza comandos de PowerShell para hacer un reconocimiento interno: datos de la red, detalles del hardware, servicios activos, y más. Todo eso lo empaqueta en formato JSON estructurado y lo envía discretamente al servidor controlado por el atacante.

También se han observado señales de actividad manual por parte de los atacantes. Esto incluye:

 

  1. Exploración de directorios locales.

  2. Búsqueda de copias de seguridad.

  3. Análisis de controladores de dominio.

  4. Enumeración de entornos como Active Directory.

  5. Movimiento lateral a través de herramientas como RDP (Escritorio Remoto).

 

Todo esto les permite ampliar su control y planear la siguiente etapa del ataque.

 

Control total desde el servidor C2

 

Una vez establecida la conexión con el servidor de comando y control (C2), el atacante puede:

 

  1. Ejecutar comandos en la máquina infectada como si estuviera frente a ella.

  2. Instalar nuevas cargas maliciosas.

  3. Establecer persistencia mediante claves del Registro.

  4. Mantener el acceso aunque el sistema se reinicie.

  5. Expandirse a otros equipos de la red interna.

 

Interlock: Ransomware en evolución

 

Interlock fue detectado por primera vez en septiembre de 2024, y desde entonces ha ido ganando notoriedad. Entre sus víctimas se cuentan organizaciones de alto perfil como la Universidad Tecnológica de Texas, DaVita y Kettering Health.

En sus primeras etapas, Interlock utilizaba técnicas como ClickFix para ingresar a los sistemas. Sin embargo, el paso a FileFix demuestra una evolución clara: el atacante busca métodos cada vez más sigilosos, engañosos y eficaces.

Este cambio de táctica marca también un punto importante en la evolución de la ingeniería social aplicada al malware: ya no se trata solo de engañar con correos falsos, sino de hacer que el propio usuario ejecute el código sin saberlo.

 

Ransomware Interlock-1

 

¿Por qué deberías preocuparte por FileFix?

 

Esta es la primera vez que se confirma públicamente el uso de FileFix en ataques reales. Es una señal clara de que los grupos de amenazas están probando y adoptando esta táctica, y no pasará mucho tiempo antes de que otros empiecen a imitarla.

A medida que más actores maliciosos descubran su efectividad, es probable que FileFix se convierta en una técnica común dentro de muchas cadenas de ataque, especialmente en campañas dirigidas a usuarios menos técnicos o equipos con medidas de seguridad laxas.

 

Cómo protegerte de ataques con FileFix y otras amenazas similares

 

  1. Desconfía de instrucciones inusuales, especialmente si implican copiar y pegar comandos.

  2. No ejecutes rutas o códigos que no entiendas, aunque vengan de supuestas fuentes confiables.

  3. Actualiza tus sistemas y usa soluciones de seguridad avanzadas, que detecten comportamientos sospechosos más allá de simples firmas de virus.

  4. Educa a tus equipos, porque la ingeniería social no ataca sistemas, ataca personas.

 

Podría interesarte leer: ¿Cómo proteger tu empresa de ataques de ransomware con TecnetProtect?

 

Conclusión

 

El ransomware Interlock y su nueva táctica FileFix demuestran cómo los ciberataques siguen evolucionando, volviéndose cada vez más difíciles de detectar. Este tipo de amenazas ya no dependen solo de vulnerabilidades técnicas, sino que también aprovechan la ingeniería social para manipular a los usuarios y ejecutar código malicioso sin levantar sospechas.

Ante este panorama, las soluciones tradicionales ya no son suficientes. Las empresas necesitan una estrategia de defensa sólida, que combine tecnología avanzada, monitoreo en tiempo real y capacitación continua para los equipos. Es aquí donde entran en juego herramientas como:

 

  1. Un Centro de Operaciones de Seguridad (SOC) para una vigilancia activa 24/7.

  2. Soluciones XDR que integran visibilidad y detección en múltiples capas.

  3. Tecnología EDR, que permite actuar rápido ante comportamientos anómalos en los endpoints.

  4. Y programas de concientización en ciberseguridad, que preparan al personal para identificar y evitar amenazas basadas en engaños.

 

En TecnetOne, contamos con cada una de estas soluciones y más. Ayudamos a empresas de todos los tamaños a proteger sus activos digitales, minimizar riesgos y responder de forma efectiva ante incidentes. Nuestro enfoque combina tecnología de punta con un equipo especialista en ciberseguridad, listo para ayudarte a prevenir ataques como los de Interlock antes de que puedan afectar tu operación.

La seguridad no es opcional. Si quieres adelantarte a los atacantes, contáctanos. En TecnetOne, estamos listos para ser tu aliado estratégico en ciberseguridad.

 

Contáctanos

Tag:

Malware Ciberataque

Filtración de Datos en McDonald's: Chatbot Expone Contraseña “123456”

Artículo Anterior
  • No hay sugerencias porque el campo de búsqueda está vacío.

Categorías

Artículos más leídos

Gustavo Sánchez 05/23/2023 Ciberseguridad, Riesgos informaticos, Ciberpatrullaje
Descubriendo los canales en Telegram de la Dark Web
Alexander Chapellin 02/26/2025 Ciberseguridad, Riesgos informaticos, Ciberpatrullaje, Malware, Ciberataque
10 Principales Grupos y Canales de Telegram en la Dark Web
Gustavo Sánchez 04/01/2024 Microsoft Office 365, Microsoft, CoPilot
Guía para Activar y Usar Copilot en Word Eficazmente
Alexander Chapellin 03/27/2024 Ciberseguridad, Riesgos informaticos
Top 5 de Foros Rusos en la Dark Web

Artículos Relacionados

Riesgos informaticos, Vulnerabilidades, IA, Ciberataque
Zoilijee Quero 07/14/2025

Vulnerabilidad en Google Gemini Expone a Usuarios a Ataque de Phishing

Google Gemini for Workspace tiene un problema serio: los atacantes pueden usarlo para crear

Leer más
Ciberseguridad, Pentesting, Ciberataque
Scarlet Mendoza 07/14/2025

Pentesting Web: ¿Cómo realizar un pentesting efectivo en tu sitio web?

Tener un sitio web hoy en día es como tener una tienda con la puerta abierta las 24 horas: siempre

Leer más
Ciberseguridad, Ciberataque
Adan Cuevas 07/11/2025

Nueva Ola de Smishing pone en Riesgo tu WhatsApp en México

“Varios usuarios han reportado tu cuenta de WhatsApp. Visita el sitio web oficial (...) para

Leer más