Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias FileFix y StealC: nueva campaña de phishing multilingüe

FileFix y StealC: nueva campaña de phishing multilingüe

por Dragora

Investigadores de ciberseguridad han identificado una campaña sofisticada de ingeniería social que emplea una variante de la técnica conocida como FileFix para distribuir el malware de robo de información StealC. La operación combina páginas de phishing multilingües altamente convincentes, ofuscación avanzada y abuso de plataformas legítimas de alojamiento de código (por ejemplo, Bitbucket) para evadir detección y persuadir a las víctimas a ejecutar cargas útiles en sus máquinas.

Cómo funciona la cadena de infección: FileFix como vector principal

La campaña comienza con un correo de phishing que redirige a la víctima a una página de suplantación (por ejemplo, una supuesta “página de seguridad” de Facebook) diseñada para asustar al usuario con la amenaza de suspensión de cuenta. La página anima al usuario a apelar la acción y “ver un PDF” con supuestas pruebas de la infracción. En ese punto entra en juego FileFix: en lugar de abrir un diálogo Ejecutar o pedir pegar un comando en la terminal, la página manipula la función de carga de archivos del navegador y el portapapeles para inducir al usuario a pegar un comando en la barra de direcciones del Explorador de archivos.

Aunque la ruta que se muestra al usuario parece inofensiva, el botón “Copiar” en realidad coloca en el portapapeles un comando malicioso (con sufijos de espacio para disfrazar el contenido) que, al pegarse en el Explorador de archivos, ejecuta un script de PowerShell multi-etapa. Ese script descarga una imagen aparentemente inocua alojada en un repositorio de Bitbucket; la imagen contiene los componentes cifrados u ofuscados del siguiente paso del ataque.

De la imagen a StealC: cargadores y persistencia

La imagen descargada se decodifica localmente y desbloquea un cargador basado en Go que desempaqueta código de shell responsable de instalar y ejecutar StealC, un ladrón de información diseñado para recopilar credenciales, cookies, archivos y otros artefactos sensibles. La cadena completa incluye técnicas de antianálisis, fragmentación de código, y “código basura” para complicar el análisis estático y dinámico.

Además, los atacantes aprovechan mecanismos de persistencia y evasión: operaciones que crean tareas programadas, instalan componentes ligeros para reconexión o usan servicios legítimos de alojamiento (Bitbucket, Google-like domains) como canales de comando y control (C2) o almacenamiento de etapas posteriores.

Diferencias entre FileFix y ClickFix

FileFix comparte objetivos con ClickFix (ambas técnicas de ingeniería social que abusan del portapapeles o cuadros de ejecución), pero presenta diferencias clave:

  • ClickFix suele requerir la apertura del diálogo Ejecutar o la terminal y pegar comandos directamente — algo que puede ser bloqueado por políticas de seguridad o por administradores.

  • FileFix evita el diálogo Ejecutar y abusa de la experiencia del usuario con el navegador y la carga de archivos, lo que la hace más difícil de mitigar mediante bloqueos simples de ejecución.

Acronis y otros investigadores han señalado que, aunque ejecutar desde el navegador puede dejar trazas útiles para investigación, la sofisticación de la ofuscación y el uso de plataformas legítimas complica la detección automatizada.

Otras variantes observadas: ClickFix, MSHTA y AutoHotkey

Paralelamente, firmas como Doppel han documentado campañas que combinan portales de soporte falsos, páginas CAPTCHA falsas y secuestro del portapapeles (ClickFix) para forzar la ejecución de PowerShell que descarga y ejecuta AutoHotkey (AHK). Los scripts AHK se usan para perfilar el host, desplegar conectores remotos (AnyDesk, TeamViewer) y droppers ligeros que instalan ladrones de información y clippers (malware que reemplaza datos de portapapeles para robar criptomonedas).

También se han visto variantes que inducen la ejecución de MSHTA apuntando a dominios que imitan servicios legítimos (ej.: wl.google-xxxx[.]com) para recuperar scripts remotos y ejecutar cargas adicionales.

Riesgos y consecuencias para organizaciones y usuarios

El uso de plataformas legítimas como Bitbucket o servicios de documentos en la nube reduce la probabilidad de bloqueo por parte de soluciones de seguridad que confían en listas de reputación. Las consecuencias incluyen:

  • Exfiltración de credenciales corporativas y personales.

  • Acceso remoto no autorizado mediante AnyDesk/TeamViewer.

  • Instalación de clippers y fraude financiero.

  • Dificultad para la atribución y remediación por falsa legitimidad de los hosts de distribución.

Recomendaciones de mitigación y detección

Para reducir el riesgo frente a FileFix/StealC y variantes relacionadas, se recomiendan medidas concretas:

  1. Concienciación y formación continua en detección de phishing: evitar pegar comandos, abrir enlaces o descargar archivos desde mensajes no verificados.

  2. Políticas de restricción del portapapeles en entornos sensibles y bloqueo de ejecución de scripts desde ubicaciones no confiables.

  3. Estrategias de aplicación de «least privilege» y segmentación de red para limitar el alcance de droppers y controles remotos.

  4. Monitoreo de telemetría para detectar patrones de descarga inusuales desde repositorios públicos y accesos anómalos a cuentas de colaboración.

  5. Lista blanca de aplicaciones y control de ejecución (AppLocker, Windows Defender Application Control) para prevenir la ejecución de binarios ofuscados.

  6. Inspección de URL y reputación incluso para dominios que hospedan recursos legítimos: combinar detección heurística con análisis de contenido y comportamiento.

En fin…

La campaña que mezcla FileFix y StealC demuestra la creatividad actual de los atacantes: combinar ingeniería social avanzada con abuso de servicios legítimos para evadir defensas. La mejor defensa es la concatenación de medidas técnicas, formación humana y monitoreo continuo. La evolución de técnicas como FileFix subraya que la seguridad moderna debe considerar tanto la superficie técnica como la humana para prevenir intrusiones exitosas.

Fuente: The Hacker News

You may also like

Dejar Comentario

Click to listen highlighted text!