Nuevo Ataque FileFix Utiliza Esteganografía para Soltar Malware StealC
Adan Cuevas 09/18/2025 Ciberseguridad, Malware, Ciberataque, Del Mito al Control
3 Minutos

Una campaña reciente de ciberataques está usando ingeniería social para hacerse pasar por alertas falsas de Meta (Facebook e Instagram) y así engañar a los usuarios para que ejecuten comandos maliciosos. El objetivo: instalar silenciosamente el malware StealC, diseñado para robar contraseñas, cookies e información sensible.

Este método forma parte de la familia ClickFix, pero con un giro. En lugar de pedirte que pegues comandos en la terminal de Windows, FileFix usa la barra de direcciones del Explorador de archivos, una parte del sistema que muchos consideran segura, lo que aumenta la efectividad del engaño.

La técnica fue creada por el investigador mr.d0x como una prueba de concepto, pero ya fue usada en ataques reales por grupos como Interlock, quienes previamente la aprovecharon para distribuir troyanos de acceso remoto. La novedad es que ahora los atacantes han mejorado la estrategia con señuelos más creíbles y sofisticados, como falsas advertencias de cierre de cuenta.

 

Nueva campaña de FileFix

 

La nueva campaña de phishing, detectada por los investigadores de Acronis, está llevando las tácticas de ingeniería social a otro nivel. En esta ocasión, los atacantes se hacen pasar por el equipo de soporte de Meta (Facebook e Instagram) y advierten falsamente a los usuarios que sus cuentas serán desactivadas en 7 días, a menos que revisen un supuesto “informe de incidente”.

Pero aquí viene el truco: ese "informe" no es un documento real, sino un comando de PowerShell camuflado que, al ejecutarse, instala malware en el dispositivo de la víctima.

La página de phishing está diseñada para parecer legítima y se presenta en varios idiomas, aumentando su alcance global. En ella, se guía a los usuarios para que:

 

  1. Hagan clic en un botón "Copiar", que supuestamente copia una ruta de archivo.

  2. Luego, se les indica que abran el Explorador de archivos.

  3. Finalmente, deben pegar esa “ruta” en la barra de direcciones para acceder al documento.

 

Pero en realidad, lo que el botón “Copiar” coloca en el portapapeles es un comando de PowerShell modificado, que ha sido diseñado para parecer una ruta inofensiva gracias a una técnica bastante astuta: el comando incluye una variable con muchos espacios antes de la ruta falsa, lo que hace que solo se vea la parte final (la supuesta ruta del archivo) cuando se pega en el Explorador de archivos.

 

phishing meta

Ataque de FileFix que se hace pasar por el soporte de Meta (Fuente: Acronis)

 

Este tipo de técnica logra que el comando malicioso pase desapercibido tanto para el usuario como para algunas herramientas de seguridad. Según Acronis, a diferencia de ataques ClickFix anteriores que usaban el símbolo # para ocultar comandos (ya que PowerShell lo interpreta como un comentario), esta nueva variante usa una variable personalizada con espacios, lo que evita que las detecciones basadas en patrones comunes identifiquen la amenaza.

 

Conoce más sobre: Maranhão Stealer: Ladrón de Credenciales en Node.js

 

La campaña FileFix va un paso más allá: Ahora esconde malware en imágenes

 

Lo que hace especialmente peligrosa a esta nueva variante de FileFix es su uso creativo de la esteganografía: una técnica que permite ocultar código malicioso dentro de archivos aparentemente inofensivos, como una simple imagen JPG.

En esta campaña, los atacantes esconden tanto un script de PowerShell de segunda etapa como varios ejecutables cifrados dentro de una imagen JPG que está alojada en Bitbucket, una plataforma legítima para almacenamiento de código.

Todo empieza cuando el usuario, sin saberlo, ejecuta un comando de PowerShell (copiado desde una página de phishing, como explicamos antes). Este comando descarga la imagen disfrazada desde Bitbucket, extrae el script oculto y luego lo ejecuta en la memoria del sistema para descifrar y cargar el resto del malware, sin dejar archivos visibles en el disco.

Es una técnica inteligente y sigilosa, diseñada para evadir antivirus tradicionales y pasar completamente desapercibida. En pocas palabras: el malware se esconde a plena vista.

 

script imagen

Segundo script de PowerShell incrustado en la imagen

 

La carga final de esta campaña FileFix es el malware StealC, un infostealer diseñado para robar todo tipo de información sensible del equipo infectado. Y cuando decimos todo, no exageramos. StealC tiene como objetivo:

 

  1. Cookies y credenciales guardadas en navegadores como Chrome, Firefox, Opera o incluso Tencent.

  2. Datos de aplicaciones de mensajería como Discord, Telegram, Tox y Pidgin.

  3. Billeteras de criptomonedas como Bitcoin, Ethereum y Exodus.

  4. Credenciales de servicios en la nube, incluyendo AWS y Azure.

  5. Cuentas de VPN y plataformas de juegos como ProtonVPN, Battle.net y Ubisoft.

  6. Incluso puede tomar capturas de pantalla del escritorio activo, para espiar lo que el usuario esté haciendo en ese momento.

 

Podría interesarte leer: CVE-2025-10585: Nueva Vulnerabilidad Zero-Day en Chrome V8

 

Una campaña que no para de evolucionar

 

Según el informe de Acronis, esta campaña ha estado activa durante al menos dos semanas, y en ese tiempo ha ido cambiando constantemente: se han detectado diferentes versiones del ataque, que utilizan cargas útiles distintas, nuevos dominios y señuelos cada vez más creíbles.

“A lo largo de nuestra investigación, descubrimos varias iteraciones del ataque”, explican desde Acronis.
“Podemos ver cómo han evolucionado tanto las tácticas de ingeniería social como los aspectos técnicos del ataque”.

Esto podría indicar que el atacante está probando su infraestructura para campañas futuras o simplemente está adaptando y mejorando el ataque en tiempo real.

 

¿Qué pueden hacer las empresas?

 

Aunque muchas organizaciones ya educan a sus trabajadores sobre los riesgos del phishing tradicional, técnicas como ClickFix y FileFix son relativamente nuevas y siguen evolucionando.

Por eso, en TecnetOne recomendamos que las empresas comiencen a formar a sus usuarios en estas nuevas amenazas. En particular, es importante advertir sobre los peligros de copiar comandos desde páginas web y pegarlos en ventanas del sistema, como el Explorador de archivos o la terminal. Aunque parezcan soluciones legítimas, pueden ser la puerta de entrada para malware como StealC.

 

Entrena a tu Equipo en Ciberseguridad

Tag:

Ciberseguridad Malware Ciberataque Del Mito al Control

CVE-2025-10585: Nueva Vulnerabilidad Zero-Day en Chrome V8

Artículo Anterior

SpamGPT: La Nueva Amenaza de Phishing Potenciado por IA

Siguiente Artículo
  • No hay sugerencias porque el campo de búsqueda está vacío.

Categorías

Artículos más leídos

Gustavo Sánchez 05/23/2023 Ciberseguridad, Riesgos informaticos, Ciberpatrullaje
Descubriendo los canales en Telegram de la Dark Web
Alexander Chapellin 02/26/2025 Ciberseguridad, Riesgos informaticos, Ciberpatrullaje, Malware, Ciberataque
10 Principales Grupos y Canales de Telegram en la Dark Web
Levi Yoris 03/26/2025 Ciberseguridad, Riesgos informaticos, Malware
Principales Motores de Búsqueda de la Dark Web en 2025
Jonathan Montoya 05/22/2025 Ciberseguridad, Ciberpatrullaje, Malware, Ciberataque
Los 10 Mejores Foros de la Deep Web y la Dark Web

Artículos Relacionados

Ciberseguridad, Gestión de incidentes, Respuesta a Incidentes, Del Mito al Control
Adan Cuevas 11/06/2025

Qué es un Runbook y por qué es Clave en la Gestión de Incidentes TI

Cuando ocurre una anomalía de seguridad, lo primero es contener el incidente y restaurar el sistema

Leer más
Respuesta a Incidentes, Del Mito al Control
Jonathan Montoya 11/04/2025

Importancia de un Plan de Respuesta a Incidentes

Imagina que un día llegas a la oficina, enciendes tu computadora y no puedes acceder a tus

Leer más
Ciberseguridad, Concientización, Del Mito al Control
Muriel de Juan Lara 10/30/2025

Errores Humanos en Ciberseguridad: El Eslabón más Débil

El error humano es uno de los grandes responsables de fallos en empresas de todos los tamaños. Da

Leer más