Nuevo Ataque FileFix Utiliza Esteganografía para Soltar Malware StealC
Adan Cuevas 09/18/2025 Ciberseguridad, Malware, Ciberataque, Del Mito al Control
3 Minutos

Una campaña reciente de ciberataques está usando ingeniería social para hacerse pasar por alertas falsas de Meta (Facebook e Instagram) y así engañar a los usuarios para que ejecuten comandos maliciosos. El objetivo: instalar silenciosamente el malware StealC, diseñado para robar contraseñas, cookies e información sensible.

Este método forma parte de la familia ClickFix, pero con un giro. En lugar de pedirte que pegues comandos en la terminal de Windows, FileFix usa la barra de direcciones del Explorador de archivos, una parte del sistema que muchos consideran segura, lo que aumenta la efectividad del engaño.

La técnica fue creada por el investigador mr.d0x como una prueba de concepto, pero ya fue usada en ataques reales por grupos como Interlock, quienes previamente la aprovecharon para distribuir troyanos de acceso remoto. La novedad es que ahora los atacantes han mejorado la estrategia con señuelos más creíbles y sofisticados, como falsas advertencias de cierre de cuenta.

 

Nueva campaña de FileFix

 

La nueva campaña de phishing, detectada por los investigadores de Acronis, está llevando las tácticas de ingeniería social a otro nivel. En esta ocasión, los atacantes se hacen pasar por el equipo de soporte de Meta (Facebook e Instagram) y advierten falsamente a los usuarios que sus cuentas serán desactivadas en 7 días, a menos que revisen un supuesto “informe de incidente”.

Pero aquí viene el truco: ese "informe" no es un documento real, sino un comando de PowerShell camuflado que, al ejecutarse, instala malware en el dispositivo de la víctima.

La página de phishing está diseñada para parecer legítima y se presenta en varios idiomas, aumentando su alcance global. En ella, se guía a los usuarios para que:

 

  1. Hagan clic en un botón "Copiar", que supuestamente copia una ruta de archivo.

  2. Luego, se les indica que abran el Explorador de archivos.

  3. Finalmente, deben pegar esa “ruta” en la barra de direcciones para acceder al documento.

 

Pero en realidad, lo que el botón “Copiar” coloca en el portapapeles es un comando de PowerShell modificado, que ha sido diseñado para parecer una ruta inofensiva gracias a una técnica bastante astuta: el comando incluye una variable con muchos espacios antes de la ruta falsa, lo que hace que solo se vea la parte final (la supuesta ruta del archivo) cuando se pega en el Explorador de archivos.

 

phishing meta

Ataque de FileFix que se hace pasar por el soporte de Meta (Fuente: Acronis)

 

Este tipo de técnica logra que el comando malicioso pase desapercibido tanto para el usuario como para algunas herramientas de seguridad. Según Acronis, a diferencia de ataques ClickFix anteriores que usaban el símbolo # para ocultar comandos (ya que PowerShell lo interpreta como un comentario), esta nueva variante usa una variable personalizada con espacios, lo que evita que las detecciones basadas en patrones comunes identifiquen la amenaza.

 

Conoce más sobre: Maranhão Stealer: Ladrón de Credenciales en Node.js

 

La campaña FileFix va un paso más allá: Ahora esconde malware en imágenes

 

Lo que hace especialmente peligrosa a esta nueva variante de FileFix es su uso creativo de la esteganografía: una técnica que permite ocultar código malicioso dentro de archivos aparentemente inofensivos, como una simple imagen JPG.

En esta campaña, los atacantes esconden tanto un script de PowerShell de segunda etapa como varios ejecutables cifrados dentro de una imagen JPG que está alojada en Bitbucket, una plataforma legítima para almacenamiento de código.

Todo empieza cuando el usuario, sin saberlo, ejecuta un comando de PowerShell (copiado desde una página de phishing, como explicamos antes). Este comando descarga la imagen disfrazada desde Bitbucket, extrae el script oculto y luego lo ejecuta en la memoria del sistema para descifrar y cargar el resto del malware, sin dejar archivos visibles en el disco.

Es una técnica inteligente y sigilosa, diseñada para evadir antivirus tradicionales y pasar completamente desapercibida. En pocas palabras: el malware se esconde a plena vista.

 

script imagen

Segundo script de PowerShell incrustado en la imagen

 

La carga final de esta campaña FileFix es el malware StealC, un infostealer diseñado para robar todo tipo de información sensible del equipo infectado. Y cuando decimos todo, no exageramos. StealC tiene como objetivo:

 

  1. Cookies y credenciales guardadas en navegadores como Chrome, Firefox, Opera o incluso Tencent.

  2. Datos de aplicaciones de mensajería como Discord, Telegram, Tox y Pidgin.

  3. Billeteras de criptomonedas como Bitcoin, Ethereum y Exodus.

  4. Credenciales de servicios en la nube, incluyendo AWS y Azure.

  5. Cuentas de VPN y plataformas de juegos como ProtonVPN, Battle.net y Ubisoft.

  6. Incluso puede tomar capturas de pantalla del escritorio activo, para espiar lo que el usuario esté haciendo en ese momento.

 

Podría interesarte leer: CVE-2025-10585: Nueva Vulnerabilidad Zero-Day en Chrome V8

 

Una campaña que no para de evolucionar

 

Según el informe de Acronis, esta campaña ha estado activa durante al menos dos semanas, y en ese tiempo ha ido cambiando constantemente: se han detectado diferentes versiones del ataque, que utilizan cargas útiles distintas, nuevos dominios y señuelos cada vez más creíbles.

“A lo largo de nuestra investigación, descubrimos varias iteraciones del ataque”, explican desde Acronis.
“Podemos ver cómo han evolucionado tanto las tácticas de ingeniería social como los aspectos técnicos del ataque”.

Esto podría indicar que el atacante está probando su infraestructura para campañas futuras o simplemente está adaptando y mejorando el ataque en tiempo real.

 

¿Qué pueden hacer las empresas?

 

Aunque muchas organizaciones ya educan a sus trabajadores sobre los riesgos del phishing tradicional, técnicas como ClickFix y FileFix son relativamente nuevas y siguen evolucionando.

Por eso, en TecnetOne recomendamos que las empresas comiencen a formar a sus usuarios en estas nuevas amenazas. En particular, es importante advertir sobre los peligros de copiar comandos desde páginas web y pegarlos en ventanas del sistema, como el Explorador de archivos o la terminal. Aunque parezcan soluciones legítimas, pueden ser la puerta de entrada para malware como StealC.

 

Entrena a tu Equipo en Ciberseguridad

Tag:

Ciberseguridad Malware Ciberataque Del Mito al Control

CVE-2025-10585: Nueva Vulnerabilidad Zero-Day en Chrome V8

Artículo Anterior
  • No hay sugerencias porque el campo de búsqueda está vacío.

Categorías

Artículos más leídos

Gustavo Sánchez 05/23/2023 Ciberseguridad, Riesgos informaticos, Ciberpatrullaje
Descubriendo los canales en Telegram de la Dark Web
Alexander Chapellin 02/26/2025 Ciberseguridad, Riesgos informaticos, Ciberpatrullaje, Malware, Ciberataque
10 Principales Grupos y Canales de Telegram en la Dark Web
Levi Yoris 03/26/2025 Ciberseguridad, Riesgos informaticos, Malware
Principales Motores de Búsqueda de la Dark Web en 2025
Gustavo Sánchez 04/01/2024 Microsoft Office 365, Microsoft, CoPilot
Guía para Activar y Usar Copilot en Word Eficazmente

Artículos Relacionados

Ciberseguridad, IA, Del Mito al Control
Alexander Chapellin 09/18/2025

El Uso de IA en Empresas es Invisible para Los Equipos de Seguridad

¿Sabes cuánta IA se usa de verdad en tu organización? Probablemente menos de lo que crees… o mejor

Leer más
Bases de Datos, Ciberataque, Del Mito al Control
Adriana Aguilar 09/17/2025

Maranhão Stealer: Ladrón de Credenciales en Node.js

Si alguna vez has descargado un “launcher” de un juego, un crack o un “mod” desde una web

Leer más
Ciberataque, Windows, Del Mito al Control
Adrian León 09/16/2025

Windows XP: Una Ventana Abierta para Los Ciberataques

Imagínate lo siguiente: decides conectar una computadora antigua con Windows XP a internet, sin

Leer más