Οι κυβερνοεγκληματίες συνεχίζουν να εκμεταλλεύονται την ανθρώπινη συμπεριφορά, παρουσιάζοντας συνεχώς πιο εξελιγμένες μεθόδους κοινωνικής μηχανικής. Η πιο πρόσφατη απειλή ονομάζεται FileFix και, σύμφωνα με την Check Point Research, ήδη δοκιμάζεται ενεργά στην πράξη από οργανωμένους κυβερνοεγκληματίες, σηματοδοτώντας μια νέα εποχή στις επιθέσεις κοινωνικής μηχανικής.
Τι είναι το FileFix και πώς λειτουργεί
Το FileFix είναι μια νέα τεχνική που βασίζεται στη γνωστή μέθοδο ClickFix, αλλά με ακόμη πιο διακριτική υλοποίηση. Ενώ το ClickFix καλούσε τους χρήστες να εκτελέσουν κακόβουλες εντολές μέσω του παραθύρου Run των Windows, το FileFix μεταφέρει την επίθεση στο οικείο περιβάλλον της Εξερεύνησης των Windows (File Explorer).
Συγκεκριμένα, μια κακόβουλη ιστοσελίδα μπορεί να ανοίξει ένα παράθυρο File Explorer και ταυτόχρονα να αντιγράψει σιωπηλά στο πρόχειρο (clipboard) του χρήστη μια μεταμφιεσμένη εντολή PowerShell. Ο χρήστης καλείται να επικολλήσει αυτό που νομίζει πως είναι μια διαδρομή αρχείου στη γραμμή διευθύνσεων της Εξερεύνησης – στην πραγματικότητα όμως, επικολλά και εκτελεί κακόβουλο κώδικα.
Τα βήματα της επίθεσης έχουν ως εξής:
1. Ο χρήστης επισκέπτεται μια κακόβουλη ιστοσελίδα.
2. Η σελίδα ανοίγει αυτόματα ένα παράθυρο File Explorer.
3. Μια κακόβουλη εντολή PowerShell αντιγράφεται στο πρόχειρο του χρήστη.
4. Ο χρήστης επικολλά την «υποτιθέμενη» διαδρομή στο Explorer και πατά Enter.
5. Η εντολή εκτελείται και μπορεί να εγκαταστήσει κακόβουλο λογισμικό χωρίς προειδοποίηση.
Το προφίλ του απειλητικού παράγοντα
Μόλις δύο εβδομάδες μετά τη δημόσια αποκάλυψη της μεθόδου από τον ερευνητή ασφαλείας mr.d0x, η Check Point εντόπισε ενεργή δοκιμή της FileFix από γνωστό κυβερνοεγκληματικό γκρουπ. Η ομάδα αυτή είχε προηγουμένως χρησιμοποιήσει το ClickFix σε phishing επιθέσεις κατά χρηστών κρυπτονομισματικών πλατφορμών. Στις 6 Ιουλίου 2025 εντοπίστηκε νέα phishing σελίδα που μιμείται υπηρεσίες CAPTCHA, χρησιμοποιώντας το FileFix με αθώο payload – ενδεικτικό ότι προετοιμάζονται για πλήρη κακόβουλη εκμετάλλευση της τεχνικής.
Η συγκεκριμένη ομάδα χρησιμοποιεί τεχνικές SEO poisoning και malvertising για να προωθήσει phishing ιστοσελίδες που μιμούνται δημοφιλείς υπηρεσίες (π.χ. 1Password), με στόχο την εγκατάσταση λογισμικών όπως NetSupport Manager, RATs και stealers. Ιδιαίτερο χαρακτηριστικό των επιθέσεών τους είναι η χρήση πλαστών σελίδων επαλήθευσης ασφαλείας τύπου Cloudflare, μεταφρασμένων σε πολλές γλώσσες (Αγγλικά, Κορεατικά, Ρωσικά κ.ά.).
Πώς να προστατευτείτε – Συστάσεις για οργανισμούς και χρήστες
• Αυξημένη επιφυλακή σε ιστοσελίδες ή emails που ζητούν να επικολλήσετε “μονοπάτια” ή εντολές σε File Explorer ή Run.
• Εκπαίδευση χρηστών: Κανένα έγκυρο site δεν ζητά την εκτέλεση εντολών χειροκίνητα.
• Παρακολούθηση clipboard και ασυνήθιστων PowerShell ενεργειών μέσω EDR εργαλείων.
• Εντοπισμός κακόβουλων phishing σελίδων που μιμούνται γνωστές υπηρεσίες ή παρουσιάζουν ψευδή σφάλματα CAPTCHA.
• Συνεχής ενημέρωση των ομάδων ασφαλείας και των χρηστών για τις νέες τεχνικές κοινωνικής μηχανικής.
Στην ανακοίνωσή της η Check Point προτείνει τη λύση Harmony Endpoint, που προσφέρει εξελιγμένες δυνατότητες ανίχνευσης και απόκρισης σε τερματικά, εντοπίζοντας ύποπτες συμπεριφορές όπως clipboard manipulation και απόπειρες εκτέλεσης εντολών PowerShell. Με συνδυασμό ανάλυσης συμπεριφοράς, προληπτικού εντοπισμού και άμεσου αποκλεισμού, οι οργανισμοί μπορούν να προστατευτούν από απειλές όπως οι FileFix και ClickFix.
