Los investigadores de ciberseguridad han advertido sobre una nueva campaña que aprovecha una variante del Solución de archivos táctica de ingeniería social para ofrecer la Robar C malware ladrón de información.
«La campaña observada utiliza un sitio de suplantación de identidad multilingüe muy convincente (por ejemplo, una página falsa de seguridad de Facebook), con técnicas antianálisis y ofuscación avanzada para evitar ser detectados», dijo Eliad Kimhy, investigador de seguridad de Acronis dijo en un informe compartido con The Hacker News.
En un nivel alto, la cadena de ataque implica el uso de FileFix para incitar a los usuarios a lanzar una carga útil inicial que luego procede a descargar imágenes aparentemente inocuas que contienen los componentes maliciosos de un repositorio de Bitbucket. Esto permite a los atacantes abusar de la confianza que genera una plataforma legítima de alojamiento de código fuente para evitar ser detectados.
Solución de archivo, primera documentación del investigador de seguridad mrd0x como prueba de concepto (PoC) en junio de 2025, es un poco diferente de Haga clic en Fijar ya que evita que los usuarios tengan que abrir el cuadro de diálogo Ejecutar de Windows y pegar un comando ofuscado ya copiado para completar falsas comprobaciones de CAPTCHA en las páginas de suplantación de identidad configuradas para este fin.
En su lugar, aprovecha la función de carga de archivos de un navegador web para engañar a los usuarios para que copien y peguen un comando en la barra de direcciones del Explorador de archivos, lo que hace que se ejecute localmente en la máquina de la víctima.
El ataque comienza con un sitio de suplantación de identidad al que probablemente se redirija a la víctima desde un mensaje de correo electrónico que advierte a los destinatarios de la posible suspensión de sus cuentas de Facebook después de una semana, alegando que las publicaciones o mensajes compartidos infringen sus políticas. A continuación, se pide a los usuarios que apelen la decisión haciendo clic en un botón.
La página de suplantación de identidad no solo está muy ofuscada, sino que también recurre a técnicas como el código basura y la fragmentación para obstaculizar los esfuerzos de análisis.
El ataque FileFix entra en acción una vez que se hace clic en el botón, momento en el que se muestra a la víctima un mensaje que indica que puede acceder a una versión en PDF de la supuesta infracción de la política copiando y pegando una ruta al documento en la barra de direcciones del Explorador de archivos.
Si bien la ruta proporcionada en la instrucción es completamente inofensiva, un comando malintencionado se copia subrepticiamente en el portapapeles del usuario cuando hace clic en el botón de la página para abrir el Explorador de archivos. Este comando es un script de PowerShell de varias etapas que descarga la imagen antes mencionada, la decodifica y la convierte en la carga útil de la siguiente etapa y, en última instancia, ejecuta un cargador basado en Go que descomprime el shellcode responsable del lanzamiento de StealC.
FileFix también ofrece una ventaja crucial sobre ClickFix, ya que abusa de una función de navegador muy utilizada en lugar de abrir el cuadro de diálogo Ejecutar (o la aplicación Terminal en el caso de Apple macOS), que un administrador del sistema podría bloquear como medida de seguridad.
«Por otro lado, una de las cosas que hace que ClickFix sea tan difícil de detectar en primer lugar es que se genera desde Explorer.exe a través del cuadro de diálogo de ejecución o directamente desde un terminal, mientras que con FileFix, la carga la ejecuta el navegador web utilizado por la víctima, que es mucho más probable que destaque en una investigación o en un producto de seguridad», afirma Acronis.
«El adversario detrás de este ataque demostró una importante inversión en artesanía, diseñando cuidadosamente la infraestructura de suplantación de identidad, la entrega de la carga útil y los elementos de apoyo para maximizar tanto la evasión como el impacto».
La revelación se produce cuando Doppel detalló otra campaña en la que se había observado que utilizaba una combinación de portales de soporte falsos, páginas de error CAPTCHA de Cloudflare y el secuestro de portapapeles (es decir, ClickFix) para diseñar socialmente a las víctimas para que ejecuten código malicioso de PowerShell que descarga y ejecuta un script AutoHotkey (AHK).
El script está diseñado para perfilar el host comprometido y entregar cargas útiles adicionales, como AnyDesk, TeamViewer, ladrones de información y malware Clipper.
La empresa de ciberseguridad dijo que también observó otras variantes de la actividad en las que se guía a las víctimas para que ejecuten un comando de MSHTA que apunta a un dominio similar a Google («wl.google-587262 [.] com»), que luego recupera y ejecuta un script malicioso remoto.
«AHK es un lenguaje de programación basado en Windows diseñado originalmente para automatizar tareas repetitivas, como las pulsaciones de teclas y los clics del ratón», dijo Aarsh Jawa, investigador de seguridad de Doppel apuntado .
«Si bien ha sido popular durante mucho tiempo entre los usuarios avanzados y los administradores de sistemas por su sencillez y flexibilidad, los actores de amenazas comenzaron a utilizar AHK como arma alrededor de 2019 para crear programas ligeros de malware y ladrones de información. Estos scripts maliciosos suelen disfrazarse de herramientas de automatización o utilidades de soporte benignas».