Cyberprzestępcy testują nową technikę FileFix. Ataki phishingowe bez użycia luk w oprogramowaniu.

Przeczytaj także: Jak atakują fałszywe reCAPTCHA?

Atak z wykorzystaniem FileFix polega na uruchomieniu z poziomu złośliwej strony internetowej okna Eksploratora Windows. W tle przeglądarka kopiuje do schowka systemowego specjalnie spreparowaną komendę PowerShell, a następnie ofiara jest proszona o wklejenie „ścieżki pliku” w pasku adresu Eksploratora. W rzeczywistości, zamiast ścieżki, wklejana jest komenda, która uruchamia pobieranie i wykonanie złośliwego oprogramowania — bez dodatkowych komunikatów, terminali czy ostrzeżeń systemowych.

Atak wydaje się rutynową operacją, taką jak otwarcie pliku lub folderu, co czyni go wyjątkowo trudnym do wykrycia na poziomie użytkownika.

Szybka adaptacja przez grupy przestępcze

Zaledwie kilkanaście dni po publicznym ujawnieniu techniki (23 czerwca 2025), Check Point wykrył pierwsze próby testowania FileFix przez znaną grupę cyberprzestępczą. Ta sama grupa wykorzystywała wcześniej ClickFix (metoda jest podobna, ale w mniejszym stopniu zautomatyzowana – przyp. red.) do infekowania użytkowników m.in. fałszywymi wersjami popularnych usług, jak 1Password. W kampaniach stosowano m.in. malvertising (np. złośliwe reklamy w Bing), przekierowujące użytkowników na strony phishingowe udające zabezpieczenia Cloudflare.

Choć dotychczasowe testy FileFix ograniczały się do niegroźnych ładunków, analitycy Check Point Research ostrzegają, że wszystko wskazuje na przygotowania do wdrożenia tej techniki w realnych kampaniach złośliwego oprogramowania — w tym trojanów zdalnego dostępu (RAT) czy narzędzi kradnących dane.

Cyberprzestępcy zaczęli wykorzystywać FileFix niecałe dwa tygodnie po jego publikacji, co pokazuje, jak błyskawicznie adaptują się do nowych technik. Podobnie jak ClickFix, metoda ta nie opiera się na skomplikowanych lukach w systemie, lecz na manipulacji rutynowymi zachowaniami użytkownika. Przenosząc atak z okna dialogowego "Uruchom" do Eksploratora Windows, przestępcy działają na oczach ofiary — mówi Eli Smadja, menedżer ds. badań bezpieczeństwa w Check Point Software Technologies.

Nowa fala ataków opartych na inżynierii społecznej

Zarówno FileFix, jak i ClickFix, pokazują rosnące znaczenie manipulacji behawioralnej jako metody dostępu początkowego. Zamiast inwestować w techniczne exploity, cyberprzestępcy wykorzystują zaufanie użytkownika do interfejsów systemu operacyjnego. Ataki są tanie, skuteczne i trudne do wykrycia.

W jaki sposób się bronić?

Check Point rekomenduje szereg działań prewencyjnych, w tym:

• unikanie stron internetowych nakłaniających do ręcznego wklejania komend w systemowych interfejsach;
• monitorowanie wzorców ataków phishingowych udających strony weryfikacyjne (np. CAPTCHA);
• wdrażanie mechanizmów EDR do wykrywania podejrzanych działań w schowku i nietypowego użycia PowerShell;
• regularne aktualizowanie polityki bezpieczeństwa oraz szkolenia z zakresu inżynierii społecznej.