)
Cibercriminosos desenvolveram uma nova técnica de ataque que transforma uma das ferramentas mais familiares do Windows, o Explorador de Arquivos, em porta de entrada para malwares. Batizada de "FileFix" por pesquisadores de segurança, a tática é uma evolução do golpe ClickFix e aposta na falsa sensação de segurança que os usuários têm ao interagir com elementos conhecidos do sistema operacional.
A diferença é sutil, mas eficaz: em vez de fazer a vítima executar comandos na caixa de diálogo "Executar" do Windows, os invasores a manipulam para colar códigos maliciosos diretamente na barra de endereços do Explorador de Arquivos.
Nossos vídeos em destaque
O golpe que se esconde à vista de todos
O ataque começa de forma previsível: um e-mail de phishing direciona a vítima para um site falso que imita perfeitamente algum serviço online legítimo — pode ser uma plataforma de videoconferência, um sistema de compartilhamento de arquivos ou qualquer outro serviço corporativo comum.
Na página fraudulenta, surge uma mensagem de erro aparentemente técnica, informando que não é possível acessar determinada funcionalidade. A solução oferecida parece razoável: executar um "processo de verificação de ambiente" ou um "diagnóstico" seguindo algumas etapas simples.
)
As instruções são claras e aparentam ter lógica técnica. O site orienta o usuário a executar um arquivo específico que, segundo os criminosos, já está no computador da vítima ou acabou de ser baixado automaticamente. Tudo o que o usuário precisa fazer é copiar o "caminho do arquivo" exibido na tela e colá-lo na barra de endereços do Explorador de Arquivos.
O passo a passo é detalhado: abrir o Explorador de Arquivos, pressionar [CTRL] + [L] para acessar a barra de endereços, colar o conteúdo com [CTRL] + [V] e confirmar com [ENTER]. Para um usuário comum, são ações rotineiras ao navegar pelo sistema de arquivos do Windows.
A ilusão do caminho seguro
O truque está escondido no que não se vê. O campo que o usuário copia realmente mostra um caminho de arquivo aparentemente legítimo — algo como "C:\Users\Usuario\Downloads\diagnostico.exe". É por isso que a técnica recebeu o nome "FileFix": há de fato um caminho de arquivo visível.
Mas essa é apenas a ponta do iceberg. O comando completo copiado para a área de transferência é muito mais extenso do que aparenta. Antes do caminho visível do arquivo, há uma longa sequência de espaços em branco, e antes desses espaços está a verdadeira carga maliciosa que os invasores querem executar.
Como a string completa é significativamente mais longa do que a área visível da barra de endereços do Explorador de Arquivos, apenas o caminho do arquivo aparentemente inofensivo fica à vista quando o usuário cola o conteúdo. O comando malicioso permanece oculto, invisível na parte esquerda da barra.
A única forma de revelar o conteúdo real seria colar o comando em um arquivo de texto em vez do Explorador de Arquivos. Mas os golpistas contam com a falta de conhecimento das vítimas para que o golpe dê certo.
O que acontece nos bastidores
Segundo análise publicada pelo Bleeping Computer sobre pesquisa da empresa de segurança Expel, os comandos ocultos frequentemente iniciam scripts em PowerShell através do conhost.exe — o console de comando do Windows.
Um script PowerShell executado com as credenciais de um usuário legítimo tem acesso amplo ao sistema. O que acontece em seguida depende de vários fatores: as políticas de segurança da empresa, os privilégios específicos do usuário comprometido e se há soluções de proteção ativas no computador.
No caso documentado pelos pesquisadores, os atacantes utilizaram uma técnica sofisticada chamada "tráfico de cache" (cache trafficking). O mesmo site falso que implementou o golpe FileFix havia salvado discretamente um arquivo no formato JPEG no cache do navegador da vítima. Mas esse arquivo de imagem escondia um malware completo comprimido.
O script malicioso executado pelo usuário então extraiu esse malware do cache e o ativou no computador. É um método particularmente furtivo porque a carga maliciosa final chega ao sistema sem downloads evidentes ou solicitações de rede suspeitas que pudessem chamar atenção de sistemas de monitoramento.
Por que o FileFix é mais perigoso que o ClickFix
A técnica original ClickFix já era preocupante, mas o FileFix representa uma evolução significativa na sofisticação dos ataques de engenharia social. A diferença fundamental está na percepção de risco do usuário.
Quando um usuário comum de escritório é instruído a abrir a caixa de diálogo "Executar" do Windows (usando [Win] + [R]), há uma sensação instintiva de que algo técnico e potencialmente arriscado está acontecendo. A interface "Executar" parece mais "avançada", algo que usuários regulares raramente precisam acessar.
O Explorador de Arquivos, por outro lado, é território familiar. Todos os funcionários o usam diariamente para acessar documentos, abrir pastas, organizar arquivos. Não há nada de intimidador ou suspeito em interagir com ele. Essa familiaridade cria uma falsa sensação de segurança.
O desafio da defesa
Proteger organizações contra o FileFix é mais complexo do que defender contra o ClickFix. No caso do ataque anterior, a solução mais simples era bloquear a combinação de teclas [Win] + [R] em dispositivos corporativos. Com o FileFix, essa abordagem direta não funciona. Bloquear o atalho [CTRL] + [L] não é prático nem eficaz.
Primeiro, porque essa combinação de teclas é usada legitimamente em diversos aplicativos para diferentes propósitos. Segundo, porque mesmo que o atalho fosse desabilitado, os usuários ainda poderiam clicar diretamente na barra de endereços com o mouse — e os criminosos sempre fornecem instruções alternativas para casos em que os atalhos de teclado não funcionam.
Especialistas em segurança recomendam uma abordagem em camadas para defender organizações contra FileFix, ClickFix e técnicas similares de engenharia social.
A implementação de soluções de segurança robustas em todos os dispositivos corporativos é fundamental. Essas ferramentas podem detectar e bloquear a execução de códigos maliciosos em tempo real, mesmo quando iniciados por usuários legítimos. A proteção precisa funcionar no nível do comportamento do código, não apenas na detecção de assinaturas conhecidas de malware.
Mas tecnologia sozinha não basta. A engenharia social explora o fator humano, e é aí que o treinamento entra como elemento crucial.
Como se proteger
Algumas regras simples podem fazer diferença significativa:
- Desconfie de qualquer site que peça para executar comandos ou abrir ferramentas do sistema, mesmo que pareça legítimo;
- Antes de colar qualquer coisa na barra de endereços do Explorador de Arquivos, cole primeiro em um bloco de notas para ver o conteúdo completo;
- Questione qualquer processo de "verificação" ou "diagnóstico" que exija ações manuais do usuário;
- Entre em contato com o suporte de TI sempre que encontrar mensagens de erro que pedem ações incomuns;
- Nunca siga instruções técnicas recebidas por e-mail sem validação prévia.
Para saber mais, acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube para mais notícias de segurança e tecnologia.
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
