FileFix: Um Novo Ataque de Engenharia Social Baseado em ClickFix Já Está a Ser Usado Ativamente

Press Release: A Check Point Research identificou uma nova técnica de engenharia social — FileFix — que está a ser testada no terreno por cibercriminosos.

A Check Point Research (CPR), equipa de investigadores da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pioneira e líder mundial em soluções de cibersegurança, identificou uma nova técnica de engenharia social denominada de FileFix, que está a ser utilizada já em campanhas reais. Esta técnica, uma evolução da técnica ClickFix, explora a confiança humana na execução de tarefas quotidianas em ambientes Windows.

Ao contrário do ClickFix, que engana os utilizadores para executarem comandos maliciosos através da caixa “Executar” do Windows, o FileFix adopta uma abordagem mais subtil: abre uma janela legítima do Explorador de Ficheiros do Windows a partir de uma página web e carrega silenciosamente um comando PowerShell disfarçado na área de transferência do utilizador. Quando a vítima cola esse conteúdo na barra de endereços do Explorador, o comando malicioso é executado.

Apenas duas semanas após a divulgação pública do FileFix, a Check Point Research observou esta técnica a ser testada ativamente por um ator de ameaça conhecido, anteriormente associado a campanhas de phishing baseadas em ClickFix, direcionadas a utilizadores de plataformas de criptomoedas. Até agora, os testes do FileFix utilizaram cargas benignas, mas tudo indica que a entrega de malware real será o próximo passo. Durante o mesmo período, o grupo KongTuke foi também detetado a usar esta técnica numa campanha recente.

Com o FileFix já a ser usado em campanhas reais, os defensores devem preparar-se para a próxima fase: a utilização plena de cargas maliciosas através desta técnica. A infraestrutura de ataque está montada, e é apenas uma questão de tempo até que o FileFix cause danos significativos.

Contexto: a ascensão dos ataques FakeCaptcha/FixIt/ClickFix

ClickFix é uma técnica simples, mas extremamente eficaz de engenharia social. Leva os utilizadores a executarem código malicioso ao fazer-se passar por um problema técnico — como um CAPTCHA corrompido ou erro de browser. As vítimas são geralmente instruídas a copiar e colar um comando na caixa “Executar” do Windows, infetando os seus dispositivos inadvertidamente.

Nos últimos 12 meses, os ataques ClickFix dispararam e tornaram-se uma das formas mais comuns de acesso inicial. Os atacantes imitam serviços populares e criam mensagens de erro credíveis para baixar a guarda dos utilizadores — e foi precisamente esse sucesso que abriu caminho para o FileFix.

A técnica FileFix: uma evolução dos ataques ClickFix

Com base na popularidade dos ataques ClickFix, o investigador de segurança mr.d0x apresentou o FileFix a 23 de junho de 2025, como uma técnica ainda mais furtiva para levar os utilizadores a executar comandos maliciosos sem suspeitar.

Em vez de usar a caixa “Executar”, o FileFix transfere o ataque para o ambiente familiar e confiável do Explorador de Ficheiros do Windows. Esta técnica não explora falhas de software, mas sim comportamentos e ações naturais dos utilizadores.

Como funciona o FileFix

Uma página maliciosa abre uma janela do Explorador de Ficheiros no computador da vítima. Simultaneamente, um script em JavaScript copia silenciosamente um comando PowerShell disfarçado para a área de transferência. O utilizador é então instruído a colar um “caminho de ficheiro” na barra de endereços do Explorer.

Ao carregar Enter, o sistema executa o comando malicioso — tudo sem alertas visíveis. Para a vítima, tudo parece um procedimento normal para aceder a um ficheiro. Essa naturalidade é o que torna o FileFix uma ameaça mais furtiva e perigosa do que o seu antecessor.

A nossa descoberta: FileFix já está a ser testado por grupos de ameaça

Pouco mais de duas semanas após a publicação do FileFix, a Check Point Research observou testes ativos desta técnica em campanhas reais. O grupo envolvido já era conhecido pelo uso de ClickFix para distribuir loaders, RATs e infostealers, e agora está a experimentar o FileFix nos seus esquemas de phishing.

A 6 de julho de 2025, identificámos um novo domínio com uma página de phishing semelhante a campanhas anteriores deste grupo. O script inicial usava uma carga inofensiva, mas tudo indica uma preparação ativa para futuros ataques com malware real.

Perfil do grupo atacante e atividade anterior

Este ator de ameaça tem histórico de ataques a utilizadores de grandes plataformas de criptomoedas e serviços legítimos. A sua técnica preferida é o SEO poisoning, manipulando resultados de pesquisa para levar as vítimas a páginas maliciosas.

Um exemplo recente incluiu um anúncio patrocinado no Bing que redirecionava para um site falso da 1Password, onde era executado um script ClickFix que instalava o NetSupport Manager (ferramenta de acesso remoto).

As páginas de phishing deste grupo imitam quase sempre os ecrãs de verificação de segurança da Cloudflare. Para maximizar o alcance, os conteúdos são traduzidos em vários idiomas: inglês, coreano, eslovaco e russo.

Preparar-se para a próxima vaga de ataques de engenharia social

O crescimento rápido do ClickFix em 2025 prova que a engenharia social continua a ser uma das táticas mais económicas e eficazes para os cibercriminosos. FileFix eleva esta técnica, escondendo comandos perigosos num gesto banal: abrir ficheiros no Windows.

O facto de já estar a ser testado no mundo real, poucos dias após a sua apresentação pública, mostra como os atacantes reagem com rapidez e adaptabilidade ao novo cenário de ameaças.

Recomendações para utilizadores e equipas de segurança

  • Desconfie de qualquer site ou email que peça para colar comandos manuais em caixas de diálogo ou barras do Explorador.
  • Forme os utilizadores: sites legítimos raramente pedem para executar comandos manualmente.
  • Monitore páginas de phishing que imitam serviços conhecidos ou sistemas CAPTCHA.
  • Ajuste as regras de deteção de endpoint para sinalizar atividades incomuns no clipboard ou comandos PowerShell disfarçados.
  • Atualize os planos de resposta e formação em segurança com base nas novas táticas.
  • Promova uma cultura de verificação: confirmar ações estranhas com a equipa de IT antes de prosseguir.

Proteção com o Check Point Harmony Endpoint

Soluções como o Harmony Endpoint da Check Point oferecem deteção e resposta avançada a nível de endpoint, com capacidade para identificar atividades suspeitas no clipboard, execuções ocultas de PowerShell e outros sinais típicos de FileFix e ClickFix.

Com tecnologia de caça proativa, análise comportamental e bloqueio em tempo real, o Harmony Endpoint permite prevenir ataques antes que causem danos — reforçando a última linha de defesa das organizações num panorama de ameaças em constante mudança. 

Siga a Check Point Software:

Sobre a Check Point Software Technologies Ltd.

A Check Point Software Technologies Ltd. (www.checkpoint.com) é um fornecedor líder de plataformas de cibersegurança alimentadas por IA e fornecidas na cloud, protegendo mais de 100.000 organizações em todo o mundo. A Check Point aproveita o poder da IA em todo o lado para melhorar a eficiência e a precisão da cibersegurança através da sua Plataforma Infinity, com taxas de captura líderes na indústria, permitindo uma antecipação proativa de ameaças e tempos de resposta mais inteligentes e rápidos. A plataforma abrangente inclui tecnologias fornecidas pela cloud que consistem em Check Point Harmony para proteger o espaço de trabalho, Check Point CloudGuard para proteger a cloud, Check Point Quantum para proteger a rede e Check Point Infinity Core Services para operações e serviços de segurança colaborativos.

Mais informações aqui