Pesquisadores de segurança identificaram uma nova técnica de ataque que explora um dos componentes mais usados do Windows: o Explorador de Arquivos. Batizada de FileFix, a abordagem é uma evolução direta do golpe conhecido como ClickFix e se aproveita da confiança automática que usuários depositam em ferramentas familiares do sistema operacional.
A mudança parece pequena, mas faz diferença. Em vez de induzir a vítima a executar comandos pela janela “Executar” do Windows, os criminosos agora orientam o usuário a colar códigos maliciosos diretamente na barra de endereços do Explorador de Arquivos — um local visto como seguro e rotineiro.
Um golpe que passa despercebido
O ataque começa com um clássico e-mail de phishing, que leva a vítima a um site falso cuidadosamente construído para imitar serviços legítimos, como plataformas de videoconferência ou sistemas corporativos de compartilhamento de arquivos.
No site fraudulento, surge uma mensagem de erro com aparência técnica, alegando que determinada função não pode ser utilizada. A solução sugerida parece plausível: realizar um “diagnóstico” ou uma “verificação de ambiente” com alguns passos simples.
Esses passos incluem copiar um suposto caminho de arquivo e colá-lo na barra de endereços do Explorador de Arquivos. O usuário é instruído a usar atalhos comuns, como CTRL + L para focar na barra e ENTER para confirmar. Para quem usa Windows no dia a dia, isso não levanta nenhum alerta imediato.
O truque escondido no detalhe
O campo copiado mostra um caminho aparentemente legítimo, algo como um executável na pasta de downloads. Daí vem o nome FileFix. O problema é que o que aparece na tela não é tudo o que está sendo colado.
Antes do caminho visível, existe uma longa sequência invisível de espaços em branco. Antes desses espaços está o verdadeiro comando malicioso. Como a barra de endereços do Explorador de Arquivos não exibe todo o conteúdo da string, apenas a parte “inofensiva” fica visível. O código perigoso permanece oculto.
Se esse conteúdo fosse colado em um editor de texto, o golpe seria facilmente identificado. Mas os atacantes contam justamente com o desconhecimento técnico da maioria dos usuários.
O que acontece após a execução
De acordo com uma análise publicada pelo Bleeping Computer, com base em pesquisas da empresa Expel, os comandos ocultos costumam iniciar scripts em PowerShell por meio do conhost.exe, o console do Windows.
Como o script é executado com as permissões do próprio usuário, ele pode ter acesso amplo ao sistema. Em um dos casos analisados, os atacantes usaram uma técnica chamada cache trafficking. O site falso havia armazenado, silenciosamente, um arquivo JPEG no cache do navegador da vítima. Esse arquivo, apesar da aparência comum, escondia um malware compactado.
O script então extraiu esse código diretamente do cache e o executou, sem downloads explícitos ou atividades de rede suspeitas, o que dificulta a detecção por ferramentas tradicionais de segurança.
Por que o FileFix é mais perigoso que o ClickFix
No ClickFix, o usuário precisava abrir a janela “Executar”, uma interface que muitos associam a algo mais técnico e arriscado. Isso criava uma barreira psicológica mínima.
Já o Explorador de Arquivos é território conhecido. Todo mundo usa. Abrir pastas, navegar por diretórios e colar caminhos fazem parte da rotina. Essa familiaridade reduz a desconfiança e torna o golpe mais eficaz.
Desafio para empresas e equipes de segurança
Defender-se do FileFix é mais complicado do que simplesmente bloquear atalhos de teclado. Diferentemente do Win + R, não é viável desativar combinações como CTRL + L, nem impedir que usuários cliquem diretamente na barra de endereços com o mouse.
Por isso, especialistas defendem uma estratégia em camadas. Ferramentas de segurança precisam analisar o comportamento do código em execução, e não apenas buscar assinaturas conhecidas de malware. Mesmo assim, tecnologia sozinha não resolve.
Como o ataque se apoia fortemente em engenharia social, treinamento e conscientização dos usuários continuam sendo peças-chave da defesa.
Como reduzir os riscos
Algumas atitudes simples ajudam a diminuir bastante a chance de cair nesse tipo de golpe. Desconfie sempre de sites que pedem a execução manual de comandos ou diagnósticos. Antes de colar qualquer conteúdo na barra de endereços do Windows, cole primeiro em um editor de texto para ver o que realmente está ali. Questione processos de verificação improvisados e nunca siga instruções técnicas recebidas por e-mail sem validação com o suporte de TI.
O FileFix deixa claro que, quando o assunto é segurança digital, aquilo que parece familiar nem sempre é inofensivo.
