Recientemente discutimos la amenaza de FileFix, una versión avanzada de ClickFix, que se ha utilizado en diversas campañas. Este método emplea el Explorador de Windows para ejecutar comandos del sistema y comprometer el dispositivo. En este contexto, un nuevo ransomware ha comenzado a aplicar esta técnica para llevar a cabo ataques y instalar un RAT en los equipos objetivo. A continuación, te explicamos su funcionamiento y cómo protegerte.
Estamos hablando del ransomware Interlock. Aunque este tipo de malware no es nuevo y ha estado activo durante varios meses con diferentes tácticas, es ahora cuando aplica la técnica inspirada en FileFix para distribuir malware. Una nueva variante fue documentada en un informe técnico publicado por DFIR Report el 14 de julio de 2025, una fuente de gran credibilidad en el análisis forense de ciberamenazas. Este informe, respaldado por hallazgos de Proofpoint, describe cómo el ransomware Interlock ha adoptado la técnica de FileFix para distribuir un troyano de acceso remoto (RAT) basado en PHP.
Actualización del ransomware Interlock
Inicialmente, el ransomware Interlock requería que los usuarios de los sitios infectados superaran un CAPTCHA falso y una verificación, para luego pegar en un cuadro de diálogo de ejecución el contenido que se copiaba automáticamente en el portapapeles, una táctica alineada con los ataques ClickFix.
Como mencionamos, FileFix es una evolución de ClickFix. En la actualidad, el ransomware Interlock utiliza FileFix, una técnica de ataque de ingeniería social creada por el investigador de seguridad mr.d0x. Los atacantes se apoyan en elementos de la interfaz de usuario de Windows, como el Explorador de archivos o aplicaciones HTML, para engañar a la víctima a fin de que ejecute código malicioso de PowerShell o JavaScript, todo sin generar advertencias visibles.
Su estrategia consiste en persuadir a los usuarios a que peguen una cadena copiada en la barra de direcciones del Explorador de archivos. Esta cadena es, en realidad, un comando de PowerShell disfrazado, que aparenta ser una simple ruta de archivo. De este modo, la víctima termina ejecutando ese archivo malicioso.
Una vez que el RAT se introduce en el sistema, comienza a ejecutar una serie de comandos de PowerShell y a recopilar información del sistema y de la red. Todo esto se gestiona mediante un servidor de comando y control, que puede enviar nuevas órdenes de ejecución.
Es importante recordar que el ransomware representa una amenaza significativa. Su objetivo habitual es cifrar archivos o el sistema mismo y exigir un pago para que la víctima pueda reanudar el uso normal del dispositivo. Además, pueden llegar a robar datos personales o sensibles de una organización y amenazar con hacerlos públicos.
Medidas de protección
Este tipo de ataques generalmente requiere que realices alguna acción. Como se ha podido observar, se basa en la ingeniería social. Utilizan estrategias para que copies un comando, una ruta de archivo o algo similar. Necesitan que actúes de esa forma para poder ejecutar el malware. La concienciación del usuario es la primera línea de defensa. Es fundamental capacitar a los equipos para que desconfíen de cualquier instrucción en línea que pida copiar y pegar comandos en componentes del sistema operativo, como el Explorador de Archivos o la consola, sin importar cuán legítima parezca.
Asimismo, es crucial mantener el sistema actualizado. Esto ayudará a prevenir muchos problemas y amenazas que se basan en vulnerabilidades. Asegúrate de tener el sistema operativo en su última versión, así como cualquier otra aplicación instalada en el dispositivo. Siempre actualiza desde fuentes oficiales.
Contar con un antivirus eficaz también puede ser de gran ayuda para detectar y eliminar malware. Es fundamental usar uno de calidad que realmente aporte protección. Opciones como Microsoft Defender, Avast o Bitdefender son buenas para un ordenador.
En resumen, ten cuidado con este nuevo ransomware, que es en realidad una actualización que emplea FileFix para llevar a cabo sus ataques. Asegúrate de no cometer errores y de mantener todo bien actualizado y protegido.
Preguntas frecuentes
¿Cómo pueden infectar mi PC con ransomware?
Generalmente, sucede tras descargar un archivo malicioso enviado por e-mail, al hacer clic en enlaces de páginas web o al instalar aplicaciones fraudulentas.
¿Recupero mis archivos si pago el rescate?
No se recomienda pagar en caso de un ataque de ransomware. Es muy probable que, incluso si pagas, nunca recuperes tus archivos.
¿Un antivirus me protege del ransomware?
Un antivirus puede contribuir a mejorar la seguridad, pero no es la única solución para evitar el ransomware y otras amenazas. Es crucial mantener el equipo actualizado y evitar errores.
