{"id":24526,"date":"2025-12-08T09:00:36","date_gmt":"2025-12-08T12:00:36","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=24526"},"modified":"2025-12-02T12:04:26","modified_gmt":"2025-12-02T15:04:26","slug":"filefix-attack-windows-file-explorer","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/filefix-attack-windows-file-explorer\/24526\/","title":{"rendered":"FileFix: uma nova vers\u00e3o do ClickFix"},"content":{"rendered":"

Recentemente, falamos sobre a t\u00e9cnica ClickFix<\/a>. Agora, os infratores come\u00e7aram a utilizar uma nova vers\u00e3o dela, que foi apelidada de \u201cFileFix\u201d pelos pesquisadores. O princ\u00edpio permanece o mesmo: usar t\u00e1ticas de engenharia social para induzir a v\u00edtima a executar um c\u00f3digo malicioso involuntariamente em seu pr\u00f3prio dispositivo. A diferen\u00e7a entre o ClickFix e o FileFix est\u00e1 basicamente em onde o comando \u00e9 executado.<\/p>\n

No ClickFix, os invasores convencem a v\u00edtima a abrir a caixa de di\u00e1logo Executar do Windows e inserir um comando malicioso nela. J\u00e1 no FileFix, eles manipulam a v\u00edtima a colar o comando malicioso na barra de endere\u00e7os do Explorador de arquivos do Windows. Essa a\u00e7\u00e3o n\u00e3o parece incomum para o usu\u00e1rio, afinal a janela do Explorador de arquivos \u00e9 um elemento bastante familiar, o que faz seu uso ser visto como menos arriscado. Consequentemente, os usu\u00e1rios que n\u00e3o t\u00eam conhecimento desse truque em particular est\u00e3o muito mais propensos a cair na t\u00e1tica do FileFix.<\/p>\n

Como os invasores manipulam a v\u00edtima a executar seu c\u00f3digo<\/h2>\n

Um ataque FileFix se parece bastante com o ClickFix, ele come\u00e7a quando o usu\u00e1rio \u00e9 direcionado, na maioria das vezes atrav\u00e9s de um e-mail de phishing, a uma p\u00e1gina que simula o site de algum servi\u00e7o on-line leg\u00edtimo. O site falso exibe uma mensagem de erro, indicando que n\u00e3o \u00e9 poss\u00edvel acessar a funcionalidade normal do servi\u00e7o. Para resolver o problema, indicam que o usu\u00e1rio deve executar uma s\u00e9rie de etapas para um processo de \u201cverifica\u00e7\u00e3o de ambiente\u201d ou \u201cdiagn\u00f3stico\u201d.<\/p>\n

Para isso, indicam ao usu\u00e1rio que ele precisa executar um arquivo espec\u00edfico que, segundo os invasores, j\u00e1 est\u00e1 no computador da v\u00edtima ou acabou de ser baixado. O usu\u00e1rio s\u00f3 precisa copiar o caminho para o arquivo local e col\u00e1-lo na barra de endere\u00e7os do Explorador de arquivos do Windows. O campo que o usu\u00e1rio foi instru\u00eddo a copiar realmente mostra o caminho para o arquivo, por isso que o ataque se chama \u201cFileFix\u201d. As instru\u00e7\u00f5es indicam que o usu\u00e1rio deve abrir o Explorador de arquivos, pressionar [CTRL] + [L] para ir para a barra de endere\u00e7os, colar o \u201ccaminho do arquivo\u201d pressionando o comando [CTRL] + [V] e depois [ENTER].<\/p>\n

E o truque est\u00e1 aqui: apenas as \u00faltimas dezenas de caracteres do caminho do arquivo est\u00e3o vis\u00edveis, o comando \u00e9 bem mais extenso. H\u00e1 uma sequ\u00eancia de espa\u00e7os antes do caminho do arquivo, e, antes deles, fica a carga maliciosa que os invasores querem executar. Os espa\u00e7os s\u00e3o essenciais para garantir que o usu\u00e1rio n\u00e3o perceba nada suspeito depois de colar o comando. Como a string completa \u00e9 significativamente mais longa do que a \u00e1rea vis\u00edvel da barra de endere\u00e7os, somente o caminho do arquivo benigno fica vis\u00edvel. O conte\u00fado verdadeiro s\u00f3 \u00e9 revelado se as informa\u00e7\u00f5es forem coladas em um arquivo de texto em vez da janela do Explorador de arquivos. Por exemplo, em um artigo do Bleeping Computer<\/a> sobre a pesquisa da Expel, o comando real iniciava um script em PowerShell via conhost.exe.<\/p>\n

\"Exemplo<\/a>

O usu\u00e1rio acha que est\u00e1 colando o caminho de um arquivo, mas a verdade \u00e9 que o comando cont\u00e9m um script do PowerShell Fonte<\/a><\/p><\/div>\n

O que acontece depois que o script malicioso \u00e9 executado<\/h2>\n

Um script em PowerShell executado por um usu\u00e1rio leg\u00edtimo pode causar diversos problemas. Tudo depende das pol\u00edticas de seguran\u00e7a da empresa, dos privil\u00e9gios espec\u00edficos do usu\u00e1rio e se h\u00e1 solu\u00e7\u00f5es de seguran\u00e7a no computador da v\u00edtima. No caso<\/a> mencionado anteriormente, o ataque utilizou uma t\u00e9cnica denominada \u201ctr\u00e1fico de cache\u201d. O mesmo site falso que implementou a t\u00e9cnica do FileFix salvou um arquivo no formato JPEG no cache do navegador, mas o arquivo comprimido continha um malware. O script malicioso extraiu esse malware e o executou no computador da v\u00edtima. Esse m\u00e9todo permite que a carga maliciosa final chegue ao computador sem baixar arquivos ou fazer solicita\u00e7\u00f5es de rede evidentemente suspeitos, tornando-o bastante furtivo.<\/p>\n

Como proteger sua empresa de ataques ClickFix e FileFix<\/h2>\n

Em nossa postagen sobre o ataque ClickFix, indicamos que a forma mais simples de defesa era bloquear a combina\u00e7\u00e3o de teclas [Win] + [R] em dispositivos de trabalho. \u00c9 rar\u00edssimo que um funcion\u00e1rio comum de escrit\u00f3rio precise abrir a caixa de di\u00e1logo Executar. No caso do FileFix, a situa\u00e7\u00e3o \u00e9 um pouco mais complexa, pois copiar um comando na barra de endere\u00e7os \u00e9 um comportamento perfeitamente normal.<\/p>\n

N\u00e3o \u00e9 conveniente bloquear o atalho [CTRL] + [L] por dois motivos. Em primeiro lugar, essa combina\u00e7\u00e3o costuma ser usada em v\u00e1rios aplicativos para fins diversos e leg\u00edtimos. Al\u00e9m disso, n\u00e3o seria totalmente eficaz, pois os usu\u00e1rios ainda podem acessar a barra de endere\u00e7os do Explorador de arquivos clicando nela com o mouse. Os invasores costumam fornecer instru\u00e7\u00f5es detalhadas para os usu\u00e1rios caso o atalho de teclado n\u00e3o funcione.<\/p>\n

Portanto, para uma defesa realmente eficaz contra ClickFix, FileFix e esquemas semelhantes, recomendamos antes de mais nada implementar em todos os dispositivos de trabalho uma solu\u00e7\u00e3o de seguran\u00e7a confi\u00e1vel<\/a>, que pode detectar e bloquear a execu\u00e7\u00e3o de c\u00f3digo malicioso a tempo.<\/p>\n

Em segundo lugar, recomendamos realizar frequentemente uma conscientiza\u00e7\u00e3o de funcion\u00e1rios sobre as amea\u00e7as cibern\u00e9ticas modernas, principalmente os m\u00e9todos de engenharia social empregados nos cen\u00e1rios ClickFix e FileFix. O Kaspersky Automated Security Awareness Platform<\/a> pode ajudar a automatizar o treinamento dos colaboradores.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Infratores come\u00e7aram a utilizar uma nova vers\u00e3o da t\u00e9cnica ClickFix, apelidada de “FileFix”. Explicamos como ela funciona e como defender sua empresa dessa amea\u00e7a.<\/p>\n","protected":false},"author":2726,"featured_media":24527,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1119,1655,1656],"tags":[218,3366,314,3400,1448,935,230],"class_list":{"0":"post-24526","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-ameacas","11":"tag-clickfix","12":"tag-engenharia-social","13":"tag-filefix","14":"tag-navegadores","15":"tag-negocios","16":"tag-windows"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/filefix-attack-windows-file-explorer\/24526\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/filefix-attack-windows-file-explorer\/29814\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/filefix-attack-windows-file-explorer\/24884\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/filefix-attack-windows-file-explorer\/13034\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/filefix-attack-windows-file-explorer\/29701\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/filefix-attack-windows-file-explorer\/28791\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/filefix-attack-windows-file-explorer\/31673\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/filefix-attack-windows-file-explorer\/40857\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/filefix-attack-windows-file-explorer\/14081\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/filefix-attack-windows-file-explorer\/54752\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/filefix-attack-windows-file-explorer\/23419\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/filefix-attack-windows-file-explorer\/32969\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/filefix-attack-windows-file-explorer\/29938\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/filefix-attack-windows-file-explorer\/35648\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/filefix-attack-windows-file-explorer\/35276\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/engenharia-social\/","name":"engenharia social"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/24526","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2726"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=24526"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/24526\/revisions"}],"predecessor-version":[{"id":24529,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/24526\/revisions\/24529"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/24527"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=24526"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=24526"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=24526"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}