Novo ataque do FileFix usa contrabando de cache para escapar do software de segurança – Against Invaders – Notícias de CyberSecurity para humanos.

Uma nova variante do ataque de engenharia social do FileFix usa contrabando de cache para baixar secretamente um arquivo ZIP malicioso no sistema da vítima e ignorar o software de segurança.

O novo ataque de phishing e engenharia social se faz passar por um “Fortinet VPN Compliance Checker” e foi detectado pela primeira vez pelo pesquisador de segurança cibernéticaP4nd3m1cb0y, que compartilhou informações sobre isso em X.

Em um novo relatório da empresa de segurança cibernética Expulsar, o pesquisador de segurança cibernética Marcus Hutchins compartilha mais detalhes sobre como esse ataque funciona.

Para quem não está familiarizado comAtaques do FileFix, eles são uma variante doAtaque de engenharia social ClickFixdesenvolvido por Mr.d0x. Em vez de induzir os usuários a colar comandos maliciosos nas caixas de diálogo do sistema operacional, ele usaa barra de endereços do Windows File Explorerpara executar scripts do PowerShell furtivamente.

Ataque do FileFix evolui com contrabando de cache

No novo ataque de phishing, um site exibe uma caixa de diálogo que se apresenta como um “Verificador de conformidade” da Fortinet VPN, direcionando os usuários a colar o que parece ser um caminho de rede legítimo para um programa Fortinet em um compartilhamento de rede.

Isca Fortinet VPN Compliance Check FileFix

Devido a esse preenchimento, quando o visitante segue as instruções para abrir o Explorador de Arquivos e colar o comando na barra de endereços, apenas o caminho é exibido, conforme mostrado abaixo.

Como um comando copiado aparece na barra de endereços do Explorador de Arquivos
Comando malicioso do PowerShell

Em seguida, o script inicia o executável FortiClientComplianceChecker.exe do arquivo extraído para executar código malicioso.

Você pode estar se perguntando como o arquivo malicioso foi armazenado nos arquivos de cache do Chrome em primeiro lugar, e é aí que o ataque de contrabando de cache entra em jogo.

Quando o visitante acessava a página de phishing que continha a isca do FileFix, o site executava JavaScript que instruía o navegador a recuperar um arquivo de imagem.

Como a resposta HTTP afirma que a imagem buscada é do tipo “image/jpeg”, o navegador a armazena automaticamente em cache no sistema de arquivos, tratando-a como um arquivo de imagem legítimo, mesmo que não seja.

Como isso foi feito antes que o comando do PowerShell fosse executado por meio do Explorador de Arquivos, o arquivo já existia no cache e o arquivo zip poderia ser extraído dele.

“Essa técnica, conhecida comoContrabando de cache, permite que o malware ignore muitos tipos diferentes de produtos de segurança”, explica Hutchins.

“Nem a página da Web nem o script do PowerShell baixam explicitamente nenhum arquivo. Simplesmente permitindo que o navegador armazene em cache a “imagem” falsa, o malware é capaz de obter um arquivo zip inteiro no sistema local sem que o comando do PowerShell precise fazer nenhuma solicitação da web.

“Como resultado, qualquer ferramenta que verifique os arquivos baixados ou procure scripts do PowerShell que executem solicitações da Web não detectaria esse comportamento.”

Os agentes de ameaças adotaram rapidamente a nova técnica FileFix logo após sua divulgação, com Gangues de ransomware e Outros agentes de ameaças utilizando-o em suas campanhas.

O gerador ClickFix expande o ecossistema

Além da nova variante do FileFix de contrabando de cache, pesquisadores da Unidade 42 de Palo Alto descobriu um novo kit ClickFix chamado “IUAM ClickFix Generator”, que automatiza a criação de iscas no estilo ClickFix.

A interface do Gerador ClickFix permite que os invasores criem páginas de verificação falsificadas, personalizem títulos e texto de páginas, selecionem esquemas de cores e configurem cargas úteis da área de transferência.

Interface do Gerador IUAM ClickFix
Isca do Microsoft ClickFix

O Evento de Validação de Segurança do Ano: O Picus BAS Summit

Junte-se ao Cúpula de Simulação de Violação e Ataque e experimente o Futuro da validação de segurança. Ouça os principais especialistas e veja como BAS alimentado por IA está transformando a simulação de violação e ataque.

Não perca o evento que moldará o futuro da sua estratégia de segurança

Lawrence Abrams

Lawrence Abrams é o proprietário e editor-chefe da BleepingComputer.com. A área de especialização de Lawrence inclui Windows, remoção de malware e computação forense. Lawrence Abrams é coautor do Guia de campo de desfragmentação, recuperação e administração do Winternals e editor técnico do Rootkits for Dummies.

Ei,u também pode gostar:

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.