Desde diciembre de 2024, Microsoft ha detectado una campaña de phishing que suplanta a la agencia de viajes online Booking.com y se dirige a empresas del sector hotelero. La campaña utiliza una técnica de ingeniería social llamada ClickFix para distribuir malware que roba credenciales y datos financieros.
¿Cómo funciona el ataque?
Los atacantes envían correos electrónicos falsos que parecen provenir de Booking.com, con diversos pretextos como reseñas negativas de huéspedes, solicitudes de clientes potenciales, oportunidades de promoción online o verificación de cuentas. Estos correos contienen un enlace, o un archivo PDF con un enlace, que redirige a una página web fraudulenta que imita la apariencia de Booking.com.
Esta página muestra un CAPTCHA falso que superpone una imagen que se asemeja a la página legítima de Booking.com. Este CAPTCHA falso es la clave de la técnica ClickFix. Se instruye al usuario para que utilice un atajo de teclado para abrir la ventana "Ejecutar" de Windows, copie y pegue un comando (que la página web añade al portapapeles) y lo ejecute.
Este comando descarga y ejecuta código malicioso a través de mshta.exe. Este código puede variar, incluyendo PowerShell, JavaScript o archivos ejecutables (PE). Independientemente del tipo de código, su objetivo es robar datos financieros y credenciales.
Malware utilizado y objetivos
Esta campaña distribuye diferentes tipos de malware, como XWorm, Lumma stealer, VenomRAT, AsyncRAT, Danabot y NetSupport RAT. Todos ellos tienen la capacidad de robar información financiera y credenciales.
Los objetivos de esta campaña son empresas del sector hotelero en Norteamérica, Oceanía, el sur y sudeste asiático, y Europa.
Recomendaciones para protegerse
- Verifica la dirección de correo del remitente: Asegúrate de que la dirección sea legítima y no contenga errores tipográficos. Desconfía de los correos no solicitados.
- Contacta directamente con el proveedor del servicio: Si recibes un correo sospechoso, contacta con Booking.com a través de los canales oficiales.
- Desconfía de las llamadas urgentes a la acción o amenazas: Los ataques de phishing suelen crear una sensación de urgencia para que las víctimas actúen sin pensar.
- Comprueba los enlaces antes de hacer clic: Pasa el cursor sobre los enlaces para ver la URL completa y asegúrate de que sea legítima. Es mejor acceder directamente al sitio web de la empresa en lugar de hacer clic en enlaces de correos electrónicos.
- Busca errores tipográficos: Los correos electrónicos de phishing a menudo contienen errores tipográficos, tanto en el cuerpo del mensaje como en la dirección de correo o la URL.
Microsoft también recomienda implementar medidas de seguridad como la autenticación multifactor (MFA), el uso de Microsoft Defender SmartScreen, y la activación de la protección en la nube en Microsoft Defender Antivirus.
El grupo Storm-1865
Microsoft identifica esta campaña como obra del grupo Storm-1865, conocido por realizar ataques de phishing para robar datos de pago y realizar cargos fraudulentos. La incorporación de la técnica ClickFix a sus tácticas muestra su continua evolución para intentar evadir las medidas de seguridad convencionales.