CibersegurançaNotícias

Ransomware Interlock usa técnica FileFix: veja como funciona e se proteja

Imagem do autor do SempreUpdate Jardeson Márcio
Escrito por
Jardeson Márcio
Imagem do autor do SempreUpdate Jardeson Márcio
PorJardeson Márcio
Jardeson Márcio é Jornalista e Mestre em Tecnologia Agroalimentar pela Universidade Federal da Paraíba. Com 8 anos de experiência escrevendo no SempreUpdate, Jardeson é um especialista...
Follow:
Ransomware RansomHub

Descubra a nova e furtiva técnica de ataque usada por cibercriminosos para infectar vítimas silenciosamente e saiba como se proteger de forma eficaz.

Grupos de ransomware estão em constante evolução, buscando novas formas de enganar vítimas e burlar defesas. A mais recente inovação neste cenário vem do perigoso grupo Interlock, que começou a empregar uma técnica inédita chamada FileFix para distribuir seus malwares de forma mais furtiva e eficiente.

Conteúdo

A técnica FileFix, até então teórica, foi agora observada em campanhas reais conduzidas pelo ransomware Interlock. Trata-se de uma evolução direta da abordagem conhecida como ClickFix, mas com mudanças estratégicas que a tornam ainda mais difícil de detectar e mais eficaz em enganar usuários desavisados e sistemas de segurança automatizados.

Este artigo analisa em profundidade o que é a técnica FileFix, como ela está sendo usada pelo grupo Interlock e, principalmente, oferece um guia prático para proteger seus sistemas contra esse novo tipo de ameaça.

malware IA

O que é a técnica FileFix e por que ela é tão perigosa?

A evolução natural do ClickFix

Antes de entender o FileFix, é importante lembrar da técnica que o antecedeu: o ClickFix. Nesse método, os atacantes induziam o usuário a copiar e colar um comando aparentemente inofensivo na caixa “Executar” do Windows (Win + R). Ao ser executado, esse comando ativava um script PowerShell malicioso que baixava e executava malware no sistema da vítima.

O ClickFix ficou conhecido por sua simplicidade e eficácia em campanhas de engenharia social, mas a visibilidade do comando e a ativação por meio de “Run” aumentavam o risco de alerta por parte de ferramentas de segurança e usuários mais atentos.

Como o FileFix engana o usuário e o sistema

A nova técnica FileFix vai além: ela se aproveita do Explorador de Arquivos do Windows. Ao invés de instruir o usuário a abrir o “Executar”, o invasor pede que ele cole uma string na barra de endereços do Explorador, simulando um caminho de arquivo.

Na verdade, essa string é um comando PowerShell disfarçado que, ao ser interpretado pelo sistema, executa silenciosamente o malware. Essa abordagem reduz drasticamente as chances de detecção, pois:

  • Não aciona janelas visuais de alerta.
  • Não dispara imediatamente alarmes em antivírus.
  • Parece, à primeira vista, apenas um caminho de pasta.

O resultado é um ataque discreto, rápido e altamente eficaz, especialmente contra usuários leigos ou com pouca familiaridade técnica.

A campanha do ransomware Interlock: unindo o novo e o conhecido

Do injetor KongTuke ao RAT baseado em PHP

Pesquisadores de segurança identificaram que o grupo Interlock está utilizando a técnica FileFix como parte de uma cadeia de infecção mais ampla, que começa em sites comprometidos. Esses sites são manipulados por meio de um injetor conhecido como KongTuke, que apresenta à vítima uma página com instruções maliciosas.

Essa página geralmente simula um erro ou um problema técnico, pedindo que o usuário “resolva” a situação copiando um determinado “caminho de pasta” e colando no Explorador de Arquivos. Este é o ponto de entrada do FileFix.

A mecânica do ataque passo a passo

O fluxo de ataque identificado segue os seguintes passos:

  1. A vítima acessa um site comprometido, geralmente redirecionado por meio de spam ou links maliciosos.
  2. O site exibe uma mensagem persuasiva com um falso caminho de pasta.
  3. O usuário copia esse caminho e cola na barra de endereços do Explorador de Arquivos.
  4. O comando PowerShell oculto é executado sem aviso visível.
  5. Um RAT (Remote Access Trojan) baseado em PHP é baixado e executado no sistema.
  6. A partir desse momento, o invasor tem controle remoto da máquina.
  7. O último estágio é a ativação do ransomware Interlock, que criptografa os arquivos e exige pagamento do resgate.

As consequências da infecção: coleta de dados e controle total

Uma vez que o RAT está em execução, o grupo Interlock pode:

  • Coletar informações detalhadas do sistema e da rede.
  • Enviar dados exfiltrados para um servidor de comando e controle (C2).
  • Executar comandos remotamente, incluindo a instalação de ferramentas adicionais de ataque.
  • Mover-se lateralmente dentro da rede corporativa usando RDP (Remote Desktop Protocol).
  • Executar o ransomware, criptografando arquivos críticos e exigindo resgate em criptomoedas.

Este ciclo de ataque, por ser discreto na fase inicial, diminui o tempo de detecção e aumenta os danos potenciais, especialmente em redes corporativas com múltiplos pontos de acesso.

Como se proteger contra ataques FileFix e o ransomware Interlock

Recomendações para usuários

  1. Desconfie de instruções incomuns em sites, especialmente aquelas que pedem ações como copiar e colar comandos ou caminhos de arquivo.
  2. Mantenha o sistema operacional atualizado, junto com navegadores, plugins e ferramentas de segurança.
  3. Jamais execute comandos ou cole textos em áreas do sistema operacional se não tiver certeza da origem e da função do conteúdo.
  4. Utilize soluções de segurança confiáveis que monitorem a execução de scripts e atividades suspeitas em tempo real.

Diretrizes para empresas e administradores de TI

  1. Restrinja a execução de scripts PowerShell em ambientes corporativos, especialmente para usuários sem necessidade explícita.
  2. Implemente políticas de segurança rigorosas, incluindo controles de acesso baseados em função (RBAC).
  3. Capacite constantemente os colaboradores com treinamentos de conscientização sobre engenharia social e novas táticas de ataque.
  4. Monitore a rede de forma proativa, buscando conexões com servidores C2 e comportamentos anômalos.
  5. Adote uma política robusta de backups, preferencialmente com base na regra 3-2-1: três cópias dos dados, em dois formatos diferentes, e uma fora do ambiente da empresa.

Conclusão: o futuro dos ataques de engenharia social

A introdução e o uso efetivo da técnica FileFix pelo ransomware Interlock mostram que os cibercriminosos estão se adaptando rapidamente, buscando formas cada vez mais furtivas de enganar usuários e driblar mecanismos de segurança.

Enquanto ferramentas e tecnologias são fundamentais na defesa, a conscientização do usuário continua sendo a linha de frente mais eficaz contra ataques baseados em engenharia social.

Mantenha-se informado, atualize sua equipe e compartilhe este conteúdo. A prevenção começa com o conhecimento — e cada alerta pode evitar um desastre digital.

TAGGED:
Compartilhe este artigo
Artigo anterior Como os detectores de IA estão mudando a redação de textos Como os detectores de IA estão mudando as regras de redação de textos
Próximo artigo Logo do Linux Mint ao centro com um fundo verde e alguns circulos verde claro em contraste com o fundo. Linux Mint 22.2 chega com kernel HWE, biometria e Wayland no Cinnamon, e LMDE 7 a caminho
Software para Linux

Microsoft Edge 139 Beta: PDFs protegidos voltam a funcionar e novas políticas de segurança e WebGL chegam para empresas

Edge 139 Beta

Edge 139 Beta: Segurança reforçada, PDFs MIP restaurados e políticas empresariais avançadas.

Por Emanuel Negromonte

Leia também

Posts sobre o mesmo assunto