Check Point alerta para nova onda de ciberataques com engenharia social aprimorada
A Check Point Research (CPR), a divisão de inteligência de ameaças da Check Point Software, identificou uma nova e sofisticada técnica de engenharia social chamada FileFix. Esta abordagem, que representa uma evolução do ClickFix, já está sendo ativamente empregada por grupos cibercriminosos em campanhas reais, permitindo a execução silenciosa de malwares sem alertas visíveis para o usuário.Diferente do ClickFix, que manipulava os usuários a colarem comandos maliciosos no menu “Executar”, o FileFix explora a confiança no próprio Explorador de Arquivos do Windows. A técnica se inicia quando uma página web maliciosa abre uma janela legítima do Explorador. Em seguida, um comando PowerShell, disfarçado como um simples caminho de diretório, é secretamente copiado para a área de transferência do usuário. Ao colar esse conteúdo na barra de endereços do Explorador, o comando é executado sem qualquer aviso, transformando uma ação rotineira em um vetor de ataque.
"Os cibercriminosos começaram a usar o FileFix menos de duas semanas após sua divulgação, o que mostra a rapidez com que esses grupos se adaptam. Assim como o ClickFix, essa técnica não depende de falhas sofisticadas, mas sim da manipulação de comportamentos rotineiros. Ao substituir a janela 'Executar' pelo Explorador de Arquivos, os atacantes se escondem à vista de todos, tornando a detecção mais difícil e a ameaça mais perigosa", afirma Eli Smadja, gerente de pesquisa em segurança da Check Point Software.
A rápida adoção do FileFix por atores de ameaça – incluindo grupos conhecidos por ataques a plataformas de criptomoedas e o grupo KongTuke – demonstra a eficácia da técnica em explorar a confiança do usuário, em vez de vulnerabilidades de software. Os métodos dos cibercriminosos incluem o uso de SEO Poisoning, que manipula resultados de busca, e páginas de phishing que simulam telas de verificação CAPTCHA, muitas vezes em múltiplos idiomas para ampliar o alcance.
Embora os primeiros testes do FileFix envolvessem cargas benignas, a CPR já observou a transição para o uso da técnica com malwares reais, como trojans de acesso remoto (RATs), stealers e loaders. A infraestrutura para ataques em larga escala já está ativa, com novos domínios hospedando páginas de phishing que seguem o mesmo padrão de campanhas anteriores.
Recomendações para empresas e usuários:
Para mitigar essa nova ameaça, a Check Point Software recomenda:- Desconfiar de instruções incomuns: Evite colar comandos em janelas do sistema se solicitado por páginas ou e-mails.
- Educação contínua: Usuários devem ser cientes de que softwares legítimos raramente exigem execução manual de comandos para corrigir erros.
- Monitoramento de phishing: Fique atento a páginas que imitam serviços populares ou interfaces confiáveis.
- Detecção de endpoint: Implemente mecanismos que identifiquem atividades suspeitas na área de transferência ou uso atípico do PowerShell.
- Atualização constante: Mantenha programas de conscientização e planos de resposta a incidentes sempre atualizados.
- Cultura de verificação: Incentive a validação de instruções incomuns com as equipes de TI ou segurança.
A engenharia social continua sendo um dos vetores de ataque mais eficazes e econômicos. Ao esconder comandos maliciosos em interações aparentemente inofensivas, os atacantes conseguem burlar defesas tradicionais. Para combater essas ameaças, soluções avançadas de proteção de endpoint, como o Harmony Endpoint, são cruciais, oferecendo recursos de detecção de comportamento anômalo, bloqueio de execução furtiva e análise da área de transferência, ajudando a prevenir ataques antes que causem danos reais. Leia a revista