Microsoft ha emitido una advertencia sobre una campaña de phishing en curso que se hace pasar por Booking.com para infectar a empleados del sector hotelero con malware de robo de información (infostealers) y troyanos de acceso remoto (RATs).
El ataque apunta a la industria hotelera
Desde diciembre de 2024, ciberdelincuentes han estado atacando hoteles, agencias de viajes y otras empresas que usan Booking.com para reservas.
Su objetivo es secuestrar cuentas de empleados, robando datos de pago y personales de clientes para llevar a cabo ataques adicionales.
Microsoft atribuye esta campaña al grupo de amenazas conocido como ‘Storm-1865’.
¿Cómo funciona ClickFix?
ClickFix es una técnica de ingeniería social que muestra errores falsos en sitios web o documentos de phishing. Pidiendo al usuario que realice una “solución”, como resolver un CAPTCHA para continuar.
Aunque este supuesto “arreglo” en realidad ejecuta comandos maliciosos en PowerShell que descargan e instalan malware en dispositivos Windows y Mac.
Proceso del ataque:
1️⃣ Los atacantes envían correos electrónicos falsos haciéndose pasar por clientes que preguntan sobre reseñas negativas o verificaciones de cuenta.
2️⃣ Estos correos incluyen un PDF o un botón con enlace que dirige a la víctima a una página de CAPTCHA falsa.
3️⃣ Al resolver el CAPTCHA, se copia un comando malicioso mshta.exe en el portapapeles.
4️⃣ Se instruye a la víctima a abrir el comando Ejecutar de Windows, pegar el contenido y ejecutarlo, sin saber que está lanzando malware.
Malware distribuido y objetivos
Al ejecutar el comando, se descargan diversas herramientas de espionaje y control remoto, como:
XWorm
Lumma Stealer
VenomRAT
AsyncRAT
Danabot
NetSupport RAT
Estos malwares permiten robar credenciales, datos financieros y tomar control remoto de los dispositivos infectados, lo que es característico de los ataques de Storm-1865.
¿Cómo protegerse de ClickFix? ️
Verifica el remitente: No confíes en correos urgentes sin antes confirmar la autenticidad de la dirección de envío.
Evita hacer clic en enlaces sospechosos: En lugar de seguir enlaces en correos, accede directamente a Booking.com escribiendo la URL en tu navegador.
Desconfía de CAPTCHAs inesperados: Si un sitio pide resolver un CAPTCHA antes de acceder a contenido, verifica que sea legítimo.
Mantén tu sistema actualizado: Tener software de seguridad activo y actualizado ayuda a detectar amenazas.
Microsoft continúa monitoreando la actividad de Storm-1865 y recomienda a las empresas de la industria hotelera extremar las precauciones ante esta amenaza en evolución.