Microsoft Threat Intelligence ha detectado una campaña de phishing que suplanta a Booking.com, dirigida a organizaciones del sector hotelero y de viajes. Utilizando la técnica ClickFix, esta campaña distribuye malware diseñado para robar credenciales y realizar fraudes financieros. Los ataques se enfocan en individuos que trabajan con Booking.com en diversas regiones, enviando correos electrónicos falsos que parecen legítimos. La estrategia incluye inducir a los usuarios a ejecutar comandos que descargan malware, lo que dificulta su detección por medidas de seguridad convencionales. Microsoft recomienda varias prácticas para protegerse contra estas amenazas, incluyendo la formación de usuarios y la implementación de autenticación multifactor. Para más información sobre cómo prevenir ataques de phishing, visita el enlace original.
Una reciente alerta de Microsoft Threat Intelligence ha revelado una sofisticada campaña de phishing que se hace pasar por la reconocida agencia de viajes online Booking.com. Este ataque, detectado en diciembre de 2024, tiene como objetivo a organizaciones dentro de la industria hotelera y de viajes, utilizando un método de ingeniería social conocido como ClickFix para distribuir malware diseñado para robar credenciales y facilitar fraudes financieros. A pesar de su detección inicial, la campaña continuaba activa en febrero de 2025.
Los atacantes están dirigiendo sus esfuerzos a empleados del sector hotelero y turístico en regiones como América del Norte, Oceanía, el Sur y Sudeste Asiático, así como en toda Europa. Los correos electrónicos maliciosos que envían parecen provenir legítimamente de Booking.com, lo que aumenta su potencial para engañar a las víctimas.
La técnica ClickFix se basa en manipular la tendencia humana a resolver problemas. Los atacantes envían mensajes con errores falsos o instrucciones engañosas que llevan a los usuarios a copiar, pegar y ejecutar comandos que descargan malware. Esta interacción del usuario puede eludir las soluciones de seguridad automatizadas. En este caso particular, se incita a las víctimas a utilizar atajos de teclado para abrir una ventana de ejecución en Windows donde deben pegar un comando proporcionado por la página fraudulenta.
Microsoft ha nombrado esta operación como Storm-1865, un grupo responsable de múltiples actividades relacionadas con el phishing que conducen al robo de datos financieros. Para mitigar el impacto de estos ataques, es crucial educar a los usuarios sobre cómo reconocer fraudes similares.
Storm-1865 se enfoca en individuos dentro del sector hotelero y turístico, enviando correos electrónicos que abordan temas relevantes como reseñas negativas o solicitudes comerciales. Estos mensajes incluyen enlaces o archivos PDF que redirigen a los destinatarios hacia una página web falsa que imita la interfaz legítima de Booking.com.
Al hacer clic en el enlace proporcionado, los usuarios son llevados a una página con un CAPTCHA falso diseñado para darles una sensación errónea de seguridad. Este truco es parte integral del proceso ClickFix, donde se les instruye a ejecutar un comando malicioso que descarga software dañino mediante mshta.exe.
La campaña está diseñada para distribuir diversas familias de malware, incluyendo XWorm, Lumma stealer, VenomRAT, entre otros. Dependiendo del enfoque específico del ataque, el código lanzado varía e incluye contenido potencialmente dañino escrito en PowerShell o JavaScript.
A través de estas tácticas avanzadas, Storm-1865 ha demostrado su capacidad para evolucionar y adaptarse a nuevas medidas de seguridad. En años anteriores, ya había dirigido ataques similares contra huéspedes utilizando Booking.com y compradores en plataformas de comercio electrónico.
El grupo detrás de estas actividades ha estado operando desde principios de 2023, incrementando su volumen y sofisticación con el tiempo. Las campañas han utilizado diversos canales para enviar mensajes fraudulentos, incluidos servicios populares como Gmail e iCloud Mail.
Para protegerse contra este tipo de amenazas:
Implementar métodos resistentes al phishing, aplicar autenticación multifactor (MFA) en todas las cuentas y configurar herramientas como Microsoft Defender son algunas recomendaciones clave para protegerse eficazmente contra estos ataques.
A medida que la amenaza evoluciona, es esencial mantenerse informado sobre las mejores prácticas y estrategias defensivas recomendadas por expertos en ciberseguridad.