FileFix: entenda o golpe que transforma o Explorador de Arquivos em arma para sequestrar dados

FileFix é a mais recente artimanha de cibercriminosos para assumir o controle de computadores e roubar informações, valendo-se da confiança dos usuários no Explorador de Arquivos do Windows para ocultar comandos maliciosos executados em segundo plano.

FileFix: como o ataque se inicia e por que ele é convincente

O ponto de partida do FileFix segue um roteiro clássico de engenharia social: a vítima recebe um e-mail de phishing contendo um link para um site que emula com precisão serviços corporativos populares, como plataformas de videoconferência ou sistemas de compartilhamento de arquivos. Ao acessar a página fraudulenta, o usuário se depara com um aviso de erro técnico. O texto, escrito em tom profissional, afirma que determinadas funcionalidades não podem ser utilizadas até que se execute um “processo de verificação de ambiente” ou um “diagnóstico”.

Para conferir legitimidade, o site fornece instruções minuciosas e aparentemente racionais: localizar ou baixar um arquivo supostamente legítimo, copiar o caminho desse arquivo e colá-lo na barra de endereços do Explorador de Arquivos. O conjunto de passos — pressionar CTRL + L, colar com CTRL + V e confirmar com ENTER — é familiar a qualquer pessoa acostumada a navegar por pastas no Windows, reforçando a sensação de normalidade.

O truque invisível por trás da barra de endereços

A genialidade do FileFix está no que o usuário não consegue ver. O caminho exibido na tela — algo como C:UsersUsuarioDownloadsdiagnostico.exe — é apenas a porção final de uma cadeia muito maior. Antes desse trecho visível, os invasores inserem uma série de espaços em branco suficientes para empurrar a verdadeira carga maliciosa para fora do campo de visão da barra de endereços. Dessa forma, ao colar o conteúdo no Explorador de Arquivos, a vítima tem a impressão de estar apenas abrindo um arquivo local.

Na realidade, a sequência oculta contem um comando que invoca o conhost.exe — console do Windows — e executa um script em PowerShell com os privilégios do próprio usuário. Como a barra de endereços não exibe o início da linha, o risco passa despercebido. A única maneira de identificar a fraude seria colar a string em um editor de texto simples, prática que raramente é lembrada em situações de urgência simulada pelos golpistas.

Da execução do PowerShell ao sequestro de dados

Uma vez iniciado, o script em PowerShell amplia as possibilidades de ataque. Pesquisadores apontam que, em episódios analisados, os agentes utilizaram a técnica conhecida como “tráfego de cache” (cache trafficking). Nessa abordagem, um arquivo de aparência inofensiva — por exemplo, uma imagem JPEG — já havia sido salvo silenciosamente no cache do navegador enquanto a vítima navegava pelo site falso.

O script executado a partir do FileFix localiza esse JPEG,
extrai dele um malware comprimido e aciona a instalação. Todo o processo ocorre sem transferências adicionais que possam disparar alertas de monitoramento de rede, tornando a detecção significativamente mais difícil. Dependendo das políticas de segurança da organização e do nível de privilégios do usuário comprometido, o invasor pode instalar backdoors, exfiltrar documentos sigilosos ou movimentar-se lateralmente em busca de credenciais administrativas.

FileFix versus ClickFix: escalada na engenharia social

O novo golpe é uma evolução do método ClickFix, que induzia vítimas a utilizar a caixa de diálogo “Executar” (Win + R) para disparar comandos maliciosos. Embora perigoso, o ClickFix trazia consigo um elemento de alerta: boa parte dos usuários associa a janela “Executar” a tarefas avançadas, despertando maior cautela.

No FileFix, essa barreira psicológica desaparece. O Explorador de Arquivos é uma interface rotineira, utilizada para copiar, mover ou abrir documentos diariamente. Ao deslocar a ação maliciosa para um ambiente tão corriqueiro, os criminosos diminuem a percepção de risco e aumentam as chances de sucesso. Esse ajuste aparentemente simples representa um salto qualitativo na capacidade de convencimento do golpe.

Desafios de defesa: por que mitigar o FileFix exige estratégia em camadas

Bloquear teclas de atalho foi uma solução razoável contra o ClickFix; porém, no caso do FileFix, barrar a combinação CTRL + L é inviável. Além de ser usada em inúmeros aplicativos, a função pode ser substituída por um clique com o mouse na própria barra de endereços, algo impossível de restringir sem comprometer a operação cotidiana dos usuários.

Especialistas indicam que a proteção deve combinar múltiplos recursos. Ferramentas de segurança com análise comportamental podem identificar a execução anômala de PowerShell e bloquear o processo antes que scripts avancem. Políticas de mínimo privilégio, que impedem contas comuns de instalar software sem validação, também reduzem o impacto de uma infecção inicial. Por fim, segmentação de rede e monitoramento constante de tráfego de saída dificultam a exfiltração de dados.

Medidas práticas para usuários e equipes de TI

Embora tecnologia seja fundamental, o elo humano permanece crítico. Treinamento contínuo ajuda a construir resistência contra engenharia social. Regras básicas incluem:

• Desconfiar de sites que solicitem execução de comandos ou abertura de ferramentas do sistema;
• Colar qualquer instrução suspeita primeiro em um bloco de notas para verificar o conteúdo completo;
• Questionar procedimentos de “diagnóstico” que dependam de intervenção manual do usuário;
• Comunicar imediatamente o suporte de TI diante de mensagens de erro incomuns;
• Jamais seguir instruções técnicas recebidas por e-mail sem validação formal.

O estado atual da ameaça e próximos passos de investigação

Pesquisadores da empresa de segurança Expel continuam monitorando variações do FileFix e registram tentativas de ataque em diferentes setores, especialmente ambientes corporativos onde funcionários utilizam serviços on-line de forma intensiva. A expectativa é que novos domínios fraudulentos e rotinas de script sejam descobertos conforme os invasores ajustam a técnica para contornar soluções de defesa mais recentes.

Até o momento, a recomendação permanece centrada na combinação de tecnologia de proteção em tempo real, políticas restritivas de privilégio e capacitação dos usuários finais. Dessa forma, mesmo que o comando disfarçado seja colado na barra de endereços, há camadas adicionais capazes de interromper a cadeia de execução antes que dados sejam sequestrados ou que o controle da máquina seja transferido ao atacante.