FileFix, El explorador de archivos de Windows es utilizado como vector de amenaza.

FileFix, El explorador de archivos de Windows es utilizado como vector de amenaza.

Investigadores de seguridad han descubierto un nuevo método de ataque conocido como “FileFix”, que aprovecha el Explorador de archivos de Windows para ejecutar comandos ocultos de PowerShell. Al abusar de las funciones legítimas de Windows, los atacantes pueden ejecutar código malicioso mientras evaden los controles de seguridad tradicionales.

¿Cuál es la amenaza?

El ataque FileFix es una técnica de ingeniería social que aprovecha la funcionalidad de la barra de direcciones del Explorador de archivos de Windows para iniciar comandos de PowerShell sin que el usuario lo sepa.

Cuando la víctima interactúa con un sitio web malicioso, el ataque funciona de la siguiente manera:

  • Copia automáticamente un comando de PowerShell malicioso al portapapeles de la víctima.
  • Presentando lo que parece ser una ruta de archivo legítima en el Explorador de archivos de Windows. 

  • Ejecutar el comando de PowerShell cuando el usuario intenta navegar a la ruta del archivo falso. 

FileFix representa una amenaza única porque ejecuta acciones maliciosas de forma silenciosa, sin despertar sospechas en el usuario ni generar alertas de seguridad tradicionales. El ataque puede distribuir diversas cargas útiles, como ransomware, ladrones de información o troyanos de acceso remoto.

¿Por qué es digno de mención?

El ataque FileFix es digno de mención por varias razones, entre ellas:

Evasión de controles de seguridad: en lugar de explotar una vulnerabilidad, el ataque abusa del comportamiento integrado de Windows para eludir las defensas convencionales.

Sin asignación de CVE: a diferencia de las vulnerabilidades tradicionales, esta técnica de ataque no tiene un identificador CVE porque no explota un error de software sino que abusa de una funcionalidad legítima de forma inesperada a través de un usuario desprevenido.

Evolución de las técnicas de ataque: FileFix es una evolución del ataque “ClickFix” identificado previamente, que muestra cómo los actores de amenazas perfeccionan continuamente sus métodos.

Interacción mínima del usuario: el ataque se ejecuta de forma silenciosa y requiere poca intervención del usuario, lo que lo hace muy eficaz para campañas de ingeniería social sin levantar sospechas.

Adopción generalizada: según informes recientes, el grupo de ransomware Interlock ya ha adoptado esta técnica para distribuir malware, lo que indica su eficacia y rápida adopción por parte de los atacantes.

¿Cuál es la exposición o riesgo?

Cualquier usuario de Windows con acceso al Explorador de archivos podría estar en riesgo, ya que este ataque explota funciones legítimas de Windows, lo que dificulta su detección. Tiene el potencial de tener un impacto generalizado, especialmente a través de campañas de phishing o sitios web comprometidos.

Una variante de esta técnica ha surgido en Linux. En este caso, al visitar un sitio web malicioso, se puede copiar automáticamente un comando de shell al portapapeles del usuario. A continuación se le solicita que abra el cuadro de diálogo ejecutar “ejecutando el comando”, lo que sin saberlo, desencadena una ejecución no autorizada de PowerShell. Esto puede provocar el robo de datos, la vulneración del sistema, la implementación de ransomware o servicio como punto de partida para ataques más avanzados.

Se recomienda realizar algunas de las siguientes acciones para mitigar el impacto:

Implemente el registro de bloques de scripts de PowerShell, el registro de módulos y el modo de lenguaje restringido para detectar y prevenir la ejecución maliciosa de PoweShell:

  • Utilice soluciones de control de aplicaciones para restringir la ejecución de PowerShell únicamente a scripts y comandos autorizados.
  • Implemente protección avanzada de puntos finales para detectar y bloquear actividad sospechosa de PowerShell, incluso cuando se ejecuta a través de componentes legítimos de Windows.
  • Implemente un registro y monitoreo integral para detectar comandos inusuales de PowerShell o comportamiento de Explorador de archivos.
  • Implemente políticas para restringir la ejecución de PowerShell para usuarios.

¿Cómo podemos apoyarte?

  • XDR: Funciones de monitoreo y detección de amenazas 24/7 para identificar actividades sospechosas dirigidas a instancias SQL Server.
  • Backup: Solución integral de respaldo para bases de datos de SQL Server, garantizando la recuperación de datos en caso de vulneración o corrupción.
  • CloudGen Firewall: Protección de red avanzada para ayudar a prevenir el acceso no autorizado a instancias de SQL Server.
  • WAF: Protección de las aplicaciones Web que interactúan con SQL Server, bloqueo de inyección y otras vulnerabilidades

Empieza a ahorrar con nuestros servicios de ciberseguridad administrados, contáctanos ahora mismo:

JR

Regresar al blog

Deja un comentario

Ten en cuenta que los comentarios deben aprobarse antes de que se publiquen.