FileFix es una nueva variante de un viejo truco de ingeniería social llamado ClickFix, que ahora lleva los ataques a otro nivel. En lugar de depender solo del navegador, esta técnica aprovecha nada menos que la barra de direcciones del Explorador de archivos de Windows para ejecutar comandos maliciosos.
El ataque funciona de forma bastante sencilla: se engaña al usuario para que interactúe con un acceso directo o carpeta que, sin que lo note, ejecuta comandos peligrosos directamente desde el Explorador. Es una forma silenciosa y efectiva de comprometer un sistema, especialmente en entornos empresariales.
A diferencia del ClickFix original, que se basaba en hacer que la víctima hiciera clic en un botón en una página web (lo que copiaba un comando en el portapapeles y luego le pedía pegarlo en PowerShell), FileFix se salta incluso ese paso. Ya no necesita que la persona abra PowerShell: basta con que abra una carpeta o acceda a una ruta específica, y el comando se ejecuta sin levantar sospechas.
Estos ataques suelen disfrazarse de cosas inocentes: un captcha falso, un mensaje de error que pide "solucionar un problema", o cualquier otro truco que parezca normal. Todo está diseñado para que el usuario crea que está arreglando algo, cuando en realidad está abriendo la puerta al atacante.
Ejemplo de un CAPTCHA falso en un ataque ClickFix (Fuente: SilentPush)
¿Cómo FileFix se desvió del ataque original ClickFix?
En los ataques ClickFix tradicionales, el truco es más o menos así: el usuario entra a una página web que muestra un botón. Al hacer clic, se copia automáticamente un comando de PowerShell en el portapapeles, y luego se le dice al usuario que lo pegue en el símbolo del sistema usando el clásico Win+R para "arreglar" algún supuesto problema. Bastante directo, aunque algo sospechoso si prestas atención.
Pero FileFix lleva esta técnica un paso más allá y la hace mucho más creíble. En lugar de pedirle a la víctima que abra el cuadro de Ejecutar o PowerShell, la engaña para que use algo mucho más familiar: el Explorador de archivos de Windows.
El atacante combina dos funciones totalmente legítimas: la carga de archivos desde el navegador y la capacidad del Explorador de ejecutar comandos. Así crea un escenario bastante convincente, en el que parece que el usuario simplemente está intentando abrir un archivo compartido.
En este nuevo enfoque, la página de phishing ya no se presenta como un error o advertencia. Ahora podría parecer una notificación más amigable, como "Se ha compartido un archivo contigo", e invita al usuario a copiar y pegar una ruta en el Explorador de archivos para acceder a él.
Y aquí viene el truco: la página tiene un botón que dice algo como “Abrir Explorador de archivos”. Cuando el usuario hace clic, el navegador abre la ventana de carga de archivos como si fuera algo normal... pero en segundo plano, copia un comando de PowerShell en el portapapeles.
Luego, el usuario (pensando que todo es legítimo) pega esa “ruta” en la barra de direcciones del Explorador de archivos, como si estuviera accediendo a un documento compartido. Lo que realmente está pegando es un comando camuflado.
Para que el engaño no salte a la vista, el comando malicioso está oculto justo antes de una ruta falsa que parece legítima. El truco está en usar los comentarios de PowerShell: se coloca el comando real al principio, y luego se añade algo como # C:\usuarios\documento_compartido para que el usuario solo vea esa parte final. Así, en la barra de direcciones, lo que se muestra parece inofensivo, pero Windows ejecuta lo que hay antes del comentario, es decir, el código malicioso.
En un video demostrativo del ataque, se ve claramente cómo al pegar esa supuesta “ruta” en la barra del Explorador, Windows ejecuta silenciosamente el comando sin que el usuario vea nada sospechoso. Todo parece normal… hasta que ya es demasiado tarde.
Demostración del ataque (Fuente: BleepingComputer)
Como el ataque FileFix depende de un botón de carga de archivos, era importante asegurarse de que el usuario no se desviara del guion, por ejemplo, eligiendo por accidente un archivo de su computadora en lugar de seguir las instrucciones del engaño.
Para evitar eso, en el código de prueba se añadieron unas líneas extra que básicamente interceptan el intento de cargar un archivo y lo bloquean al instante. Es decir, si alguien hace clic y trata de subir algo, el sistema borra esa acción de inmediato. Nada se carga, y todo sigue bajo control del atacante.
Si eso pasa, se puede mostrar un simple mensaje diciendo algo como: “Parece que no seguiste bien los pasos, inténtalo otra vez”. Así, el usuario piensa que cometió un error y vuelve a intentarlo, sin sospechar nada raro.
Podría interesarte leer: Microsoft Cambia el Sistema de Copias de Seguridad en Windows 11
ClickFix ya es una táctica probada (y peligrosa)
FileFix no apareció de la nada. Es una evolución de ClickFix, un método que ha demostrado ser muy efectivo para distribuir malware, incluso en ataques serios como campañas de ransomware o ataques respaldados por gobiernos.
Por ejemplo, el grupo de hackers norcoreano conocido como Kimsuky usó una técnica basada en ClickFix en una campaña en la que enviaban un PDF aparentemente legítimo. Ese archivo llevaba a los objetivos a una página donde se les pedía registrar su dispositivo. La página mostraba instrucciones para abrir PowerShell como administrador y pegar un código que, claro, era malicioso.
En otro caso observado por Microsoft, unos ciberdelincuentes se hicieron pasar por Booking.com. El objetivo era atacar a trabajadores del sector hotelero, entregando malware tipo ladrón de información y troyanos de acceso remoto, todo a través de una estrategia basada en ClickFix.
Y esto no se ha quedado solo en Windows. La idea también ha sido adaptada a Linux, donde el navegador copia automáticamente un comando en el portapapeles y luego guía a la víctima a ejecutar ese comando usando una terminal. El mecanismo es casi idéntico, solo cambia el entorno.
FileFix: Más fácil, más creíble y más difícil de detectar
Lo que hace que FileFix sea tan preocupante es su simplicidad y efectividad. En lugar de depender de ventanas del sistema que no todos los usuarios conocen (como PowerShell o la consola), ahora se apoya en algo que todo el mundo usa a diario: el Explorador de archivos. Esto hace que el ataque sea mucho más natural, mucho más fácil de ejecutar… y más difícil de detectar.
Este tipo de evolución demuestra cómo los atacantes siempre están atentos a nuevas formas de engañar a la gente. De hecho, en el pasado ya se ha visto cómo técnicas similares, una vez publicadas, son adoptadas rápidamente por ciberdelincuentes. No es descabellado pensar que FileFix siga el mismo camino muy pronto.