Cibercriminosos desenvolveram uma nova técnica de ataque que transforma o Explorador de Arquivos do Windows em uma porta de entrada para malwares. Nomeada como FileFix por pesquisadores de segurança, esta tática é uma evolução do golpe ClickFix e explora a falsa sensação de segurança que os usuários possuem ao interagir com elementos familiares do sistema operacional. A diferença crucial é que, em vez de instruir a vítima a executar comandos na caixa de diálogo “Executar” do Windows, os invasores a manipulam para colar códigos maliciosos diretamente na barra de endereços do Explorador de Arquivos.
O ataque geralmente inicia com um e-mail de phishing que direciona a vítima para um site fraudulento, mimetizando perfeitamente serviços online legítimos, como plataformas de videoconferência ou sistemas de compartilhamento de arquivos. Na página falsa, uma mensagem de erro técnica aparece, sugerindo uma falha de acesso. A solução proposta é um “processo de verificação de ambiente” ou “diagnóstico” através de etapas simples. Os criminosos instruem as vítimas a copiar e colar linhas de código para “resolver” o problema, que na verdade são comandos de PowerShell maliciosos.
As instruções fornecidas são claras e parecem tecnicamente lógicas. O site orienta o usuário a executar um arquivo específico que, segundo os criminosos, já existe no computador da vítima ou foi baixado automaticamente. A vítima é então instruída a copiar o “caminho do arquivo” exibido e colá-lo na barra de endereços do Explorador de Arquivos. O procedimento é detalhado: abrir o Explorador de Arquivos, usar [CTRL] + [L] para ativar a barra de endereços, colar o conteúdo com [CTRL] + [V] e pressionar [ENTER]. Para um usuário comum, essas são ações diárias de navegação no Windows.
O engano reside no que não é visível. O campo que a vítima copia exibe um caminho de arquivo aparentemente legítimo, como ‘C:\Users\Usuario\Downloads\diagnostico.exe’, daí o nome FileFix, devido à presença de um caminho de arquivo visível. Contudo, o comando completo copiado para a área de transferência é significativamente mais extenso. Uma longa sequência de espaços em branco precede o caminho do arquivo visível, e antes desses espaços está a verdadeira carga maliciosa. Como a string é mais longa que a área visível da barra de endereços do Explorador de Arquivos, apenas o caminho inofensivo é exibido, mantendo o comando malicioso oculto. Para verificar o conteúdo real, seria necessário colar o comando em um editor de texto, mas os golpistas exploram a falta de conhecimento dos usuários.
Os comandos ocultos frequentemente iniciam scripts em PowerShell através do conhost.exe, o console de comando do Windows. Um script PowerShell executado com credenciais de usuário legítimo pode ter amplo acesso ao sistema, e as consequências variam conforme as políticas de segurança da empresa, os privilégios do usuário e as soluções de proteção ativas. Em um caso documentado, os atacantes empregaram uma técnica de tráfico de cache. O site falso do FileFix havia salvo discretamente um arquivo JPEG no cache do navegador da vítima. Este arquivo de imagem, na verdade, ocultava um malware completo e comprimido. O script malicioso então extraiu e ativou esse malware do cache no computador, tornando a entrega da carga maliciosa furtiva, sem downloads óbvios ou solicitações de rede suspeitas.
Embora a técnica ClickFix já fosse preocupante, o FileFix representa uma evolução na sofisticação dos ataques de engenharia social. A principal diferença está na percepção de risco do usuário. Ao ser instruído a usar a caixa de diálogo ‘Executar’ do Windows ([Win] + [R]), o usuário geralmente sente que está realizando uma ação técnica e potencialmente arriscada, pois é uma interface menos comum. Em contraste, o Explorador de Arquivos é uma ferramenta cotidiana, usada para navegar e organizar arquivos, o que não gera qualquer desconfiança. Essa familiaridade com o Explorador de Arquivos cria uma falsa sensação de segurança, tornando o FileFix mais perigoso.
A proteção de organizações contra o FileFix é mais complexa do que contra o ClickFix. No ataque anterior, era possível bloquear a combinação de teclas [Win] + [R] em dispositivos corporativos. Contudo, essa abordagem não se aplica ao FileFix. Bloquear o atalho [CTRL] + [L] não é viável nem eficaz, visto que ele é utilizado legitimamente em diversos aplicativos. Além disso, mesmo que o atalho fosse desabilitado, os usuários ainda poderiam clicar na barra de endereços com o mouse, e os criminosos sempre fornecem instruções alternativas. Por isso, especialistas em segurança recomendam uma abordagem de defesa em camadas contra o FileFix e outras técnicas de engenharia social.
É fundamental implementar soluções de segurança robustas em todos os dispositivos corporativos. Essas ferramentas devem ser capazes de detectar e bloquear a execução de códigos maliciosos em tempo real, mesmo que iniciados por usuários legítimos, focando no comportamento do código, não apenas em assinaturas de malware. No entanto, a tecnologia por si só não é suficiente; a engenharia social explora o fator humano, tornando o treinamento e a conscientização dos usuários elementos cruciais.
Para se proteger, algumas regras simples podem fazer uma diferença significativa:
- Desconfie de qualquer site que solicite a execução de comandos ou a abertura de ferramentas do sistema, mesmo que pareça legítimo.
- Antes de colar qualquer conteúdo na barra de endereços do Explorador de Arquivos, sempre cole-o primeiro em um bloco de notas para visualizar seu conteúdo completo.
- Questione qualquer processo de ‘verificação’ ou ‘diagnóstico’ que exija ações manuais do usuário.
- Entre em contato com o suporte de TI ao se deparar com mensagens de erro que solicitem ações incomuns.
- Nunca siga instruções técnicas recebidas por e-mail sem validação prévia.
