Una reciente alerta de Microsoft Threat Intelligence ha revelado una sofisticada campaña de phishing que se hace pasar por la reconocida agencia de viajes online Booking.com. Este ataque, detectado en diciembre de 2024, tiene como objetivo a organizaciones dentro de la industria hotelera y de viajes, utilizando un método de ingeniería social conocido como ClickFix para distribuir malware diseñado para robar credenciales y facilitar fraudes financieros. A pesar de su detección inicial, la campaña continuaba activa en febrero de 2025.
Los atacantes están dirigiendo sus esfuerzos a empleados del sector hotelero y turístico en regiones como América del Norte, Oceanía, el Sur y Sudeste Asiático, así como en toda Europa. Los correos electrónicos maliciosos que envían parecen provenir legítimamente de Booking.com, lo que aumenta su potencial para engañar a las víctimas.
Técnicas de Ingeniería Social
La técnica ClickFix se basa en manipular la tendencia humana a resolver problemas. Los atacantes envían mensajes con errores falsos o instrucciones engañosas que llevan a los usuarios a copiar, pegar y ejecutar comandos que descargan malware. Esta interacción del usuario puede eludir las soluciones de seguridad automatizadas. En este caso particular, se incita a las víctimas a utilizar atajos de teclado para abrir una ventana de ejecución en Windows donde deben pegar un comando proporcionado por la página fraudulenta.
Microsoft ha nombrado esta operación como Storm-1865, un grupo responsable de múltiples actividades relacionadas con el phishing que conducen al robo de datos financieros. Para mitigar el impacto de estos ataques, es crucial educar a los usuarios sobre cómo reconocer fraudes similares.
Corrientes Maliciosas y Estrategias del Ataque
Storm-1865 se enfoca en individuos dentro del sector hotelero y turístico, enviando correos electrónicos que abordan temas relevantes como reseñas negativas o solicitudes comerciales. Estos mensajes incluyen enlaces o archivos PDF que redirigen a los destinatarios hacia una página web falsa que imita la interfaz legítima de Booking.com.
Al hacer clic en el enlace proporcionado, los usuarios son llevados a una página con un CAPTCHA falso diseñado para darles una sensación errónea de seguridad. Este truco es parte integral del proceso ClickFix, donde se les instruye a ejecutar un comando malicioso que descarga software dañino mediante mshta.exe.
Múltiples Familias de Malware
La campaña está diseñada para distribuir diversas familias de malware, incluyendo XWorm, Lumma stealer, VenomRAT, entre otros. Dependiendo del enfoque específico del ataque, el código lanzado varía e incluye contenido potencialmente dañino escrito en PowerShell o JavaScript.
A través de estas tácticas avanzadas, Storm-1865 ha demostrado su capacidad para evolucionar y adaptarse a nuevas medidas de seguridad. En años anteriores, ya había dirigido ataques similares contra huéspedes utilizando Booking.com y compradores en plataformas de comercio electrónico.
Atribución y Recomendaciones para Usuarios
El grupo detrás de estas actividades ha estado operando desde principios de 2023, incrementando su volumen y sofisticación con el tiempo. Las campañas han utilizado diversos canales para enviar mensajes fraudulentos, incluidos servicios populares como Gmail e iCloud Mail.
Para protegerse contra este tipo de amenazas:
- Verificar siempre la dirección del remitente: Asegúrate de que sea legítima antes de interactuar con cualquier mensaje sospechoso.
- Ponte en contacto directamente con el proveedor: Si recibes un correo sospechoso, utiliza los canales oficiales para confirmar su autenticidad.
- No ceder ante la urgencia: Desconfía si te presionan para actuar rápidamente sin verificar primero la legitimidad del mensaje.
- Pasa el cursor sobre los enlaces: Esto te permitirá ver la URL completa antes de hacer clic.
- Cuidado con errores tipográficos: Los correos electrónicos fraudulentos suelen contener fallos gramaticales o tipográficos evidentes.
Estrategias Adicionales Propuestas por Microsoft
Implementar métodos resistentes al phishing, aplicar autenticación multifactor (MFA) en todas las cuentas y configurar herramientas como Microsoft Defender son algunas recomendaciones clave para protegerse eficazmente contra estos ataques.
A medida que la amenaza evoluciona, es esencial mantenerse informado sobre las mejores prácticas y estrategias defensivas recomendadas por expertos en ciberseguridad.