Η Check Point Research αποκαλύπτει τη νέα τεχνική FileFix, μια πιο εξελιγμένη μορφή της επίθεσης ClickFix, που δοκιμάζεται ήδη στην πράξη από γνωστούς απειλητικούς παράγοντες.
Αθήνα, 16 Ιουλίου 2025 – Οι κυβερνοεγκληματίες συνεχίζουν να εκμεταλλεύονται την ανθρώπινη συμπεριφορά, παρουσιάζοντας συνεχώς πιο εξελιγμένες μεθόδους κοινωνικής μηχανικής. Η πιο πρόσφατη απειλή ονομάζεται FileFix, και σύμφωνα με την Check Point Research, ήδη δοκιμάζεται ενεργά στην πράξη από οργανωμένους κυβερνοεγκληματίες, σηματοδοτώντας μια νέα εποχή στις επιθέσεις κοινωνικής μηχανικής.
Τι είναι το FileFix;
Το FileFix είναι μια νέα τεχνική που βασίζεται στη γνωστή μέθοδο ClickFix, αλλά με ακόμη πιο διακριτική υλοποίηση. Ενώ το ClickFix καλούσε τους χρήστες να εκτελέσουν κακόβουλες εντολές μέσω του παραθύρου Run των Windows, το FileFix μεταφέρει την επίθεση στο οικείο περιβάλλον της Εξερεύνησης των Windows (File Explorer).
Συγκεκριμένα, μια κακόβουλη ιστοσελίδα μπορεί να ανοίξει ένα παράθυρο File Explorer και ταυτόχρονα να αντιγράψει σιωπηλά στο πρόχειρο (clipboard) του χρήστη μια μεταμφιεσμένη εντολή PowerShell. Ο χρήστης καλείται να επικολλήσει αυτό που νομίζει πως είναι μια διαδρομή αρχείου στη γραμμή διευθύνσεων της Εξερεύνησης – στην πραγματικότητα όμως, επικολλά και εκτελεί κακόβουλο κώδικα.
Πώς λειτουργεί η επίθεση
- Ο χρήστης επισκέπτεται μια κακόβουλη ιστοσελίδα.
- Η σελίδα ανοίγει αυτόματα ένα παράθυρο File Explorer.
- Μια κακόβουλη εντολή PowerShell αντιγράφεται στο πρόχειρο του χρήστη.
- Ο χρήστης επικολλά την «υποτιθέμενη» διαδρομή στο Explorer και πατά Enter.
- Η εντολή εκτελείται και μπορεί να εγκαταστήσει κακόβουλο λογισμικό χωρίς προειδοποίηση.
Δραστηριότητα στην Πράξη
Μόλις δύο εβδομάδες μετά τη δημόσια αποκάλυψη της μεθόδου από τον ερευνητή ασφαλείας mr.d0x, η Check Point εντόπισε ενεργή δοκιμή της FileFix από γνωστό κυβερνοεγκληματικό γκρουπ. Η ομάδα αυτή είχε προηγουμένως χρησιμοποιήσει το ClickFix σε phishing επιθέσεις κατά χρηστών κρυπτονομισματικών πλατφορμών.
Στις 6 Ιουλίου 2025, εντοπίστηκε νέα phishing σελίδα που μιμείται υπηρεσίες CAPTCHA, χρησιμοποιώντας το FileFix με αθώο payload – ενδεικτικό ότι προετοιμάζονται για πλήρη κακόβουλη εκμετάλλευση της τεχνικής.
Προφίλ Απειλητικού Παράγοντα
Η συγκεκριμένη ομάδα χρησιμοποιεί τεχνικές SEO poisoning και malvertising για να προωθήσει phishing ιστοσελίδες που μιμούνται δημοφιλείς υπηρεσίες (π.χ. 1Password), με στόχο την εγκατάσταση λογισμικών όπως NetSupport Manager, RATs και stealers. Ιδιαίτερο χαρακτηριστικό των επιθέσεών τους είναι η χρήση πλαστών σελίδων επαλήθευσης ασφαλείας τύπου Cloudflare, μεταφρασμένων σε πολλές γλώσσες (Αγγλικά, Κορεατικά, Ρωσικά κ.ά.).
Πώς να Προστατευτείτε – Συστάσεις για Οργανισμούς και Χρήστες
- Αυξημένη επιφυλακήσε ιστοσελίδες ή emails που ζητούν να επικολλήσετε “μονοπάτια” ή εντολές σε File Explorer ή Run.
- Εκπαίδευση χρηστών: Κανένα έγκυρο site δεν ζητά την εκτέλεση εντολών χειροκίνητα.
- Παρακολούθηση clipboardκαι ασυνήθιστων PowerShell ενεργειών μέσω EDR εργαλείων.
- Εντοπισμός κακόβουλων phishing σελίδωνπου μιμούνται γνωστές υπηρεσίες ή παρουσιάζουν ψευδή σφάλματα CAPTCHA.
- Συνεχής ενημέρωσητων ομάδων ασφαλείας και των χρηστών για τις νέες τεχνικές κοινωνικής μηχανικής.
Προστασία με το Harmony Endpoint της Check Point
Η λύση Harmony Endpoint προσφέρει εξελιγμένες δυνατότητες ανίχνευσης και απόκρισης σε τερματικά, εντοπίζοντας ύποπτες συμπεριφορές όπως clipboard manipulation και απόπειρες εκτέλεσης εντολών PowerShell. Με συνδυασμό ανάλυσης συμπεριφοράς, προληπτικού εντοπισμού και άμεσου αποκλεισμού, οι οργανισμοί μπορούν να προστατευτούν από απειλές όπως οι FileFix και ClickFix.