Utiliza una técnica de ingeniería social cada vez más popular llamada ClickFix
Microsoft ha arrojado luz sobre una campaña de phishing en curso dirigida al sector hotelero haciéndose pasar por la agencia de viajes en línea Booking.com y utilizando una técnica de ingeniería social cada vez más popular llamada ClickFix para distribuir malware que roba credenciales.
La actividad, según el equipo de inteligencia de amenazas del gigante tecnológico, comenzó en diciembre de 2024 y opera con el objetivo final de cometer fraude y robo financiero. Está rastreando la campaña bajo el nombre Storm-1865.
"Este ataque de phishing se dirige específicamente a personas de organizaciones hoteleras en América del Norte, Oceanía, el sur y el sudeste de Asia, y el norte, sur, este y oeste de Europa, que probablemente trabajen con Booking.com, enviando correos electrónicos falsos que supuestamente provienen de la agencia", dijo Microsoft en un informe.
La técnica ClickFix se ha extendido en los últimos meses, ya que engaña a los usuarios para que ejecuten malware con el pretexto de corregir un supuesto error (es decir, inexistente) copiando, pegando y ejecutando instrucciones engañosas que activan el proceso de infección. Se detectó por primera vez en octubre de 2023.
La secuencia de ataque comienza con Storm-1865 enviando un correo electrónico malicioso a una persona específica sobre una reseña negativa de un supuesto huésped en Booking.com, solicitándole su opinión. El mensaje también incluye un enlace o un archivo PDF adjunto que aparentemente dirige a los destinatarios a la plataforma de reservas.
Sin embargo, en realidad, al hacer clic, la víctima accede a una página falsa de verificación CAPTCHA superpuesta sobre un fondo sutilmente visible, diseñado para imitar una página legítima de Booking.com. Con esto, la idea es crear una falsa sensación de seguridad y aumentar la probabilidad de un ataque exitoso.
"El CAPTCHA falso consiste en que la página web utiliza la técnica de ingeniería social ClickFix para descargar la carga maliciosa", declaró Microsoft. "Esta técnica indica al usuario que use un atajo de teclado para abrir la ventana Ejecutar de Windows y, a continuación, pegue y ejecute un comando que la página web añade al portapapeles".
El comando, en pocas palabras, utiliza el binario legítimo mshta.exe para dejar caer la carga útil de la siguiente etapa, que incluye varias familias de malware como XWorm, Lumma stealer, VenomRAT, AsyncRAT, Danabot y NetSupport RAT.
Redmond afirmó haber observado previamente que Storm-1865 atacaba a compradores que utilizaban plataformas de comercio electrónico con mensajes de phishing que conducían a páginas web de pago fraudulentas. Por lo tanto, la incorporación de la técnica ClickFix ilustra una evolución táctica diseñada para eludir las medidas de seguridad convencionales contra el phishing y el malware.
"El actor de amenazas que Microsoft rastrea como Storm-1865 encapsula un conjunto de actividades que realizan campañas de phishing, lo que conduce al robo de datos de pago y a cargos fraudulentos", agregó.
Estas campañas se han estado realizando con un volumen creciente desde al menos principios de 2023 e incluyen mensajes enviados a través de plataformas de proveedores, como agencias de viajes en línea y plataformas de comercio electrónico, y servicios de correo electrónico, como Gmail o iCloud Mail.
Vale la pena señalar que la combinación de cebos de Booking.com y ClickFix para propagar XWorm también ha sido documentada por Cofense, y la compañía señala que "esta técnica se observó casi el doble de veces con XWorm RAT en comparación con cualquier otra familia de malware".
Storm-1865 representa solo una de las muchas campañas que han utilizado ClickFix como vector de distribución de malware. La eficacia de esta técnica es tal que incluso grupos estatales rusos e iraníes como APT28 y MuddyWater la han adoptado para atraer a sus víctimas.
"Cabe destacar que el método aprovecha el comportamiento humano: al presentar una 'solución' plausible a un problema percibido, los atacantes transfieren la carga de la ejecución al usuario, eludiendo eficazmente muchas defensas automatizadas", afirmó Group-IB en un informe independiente publicado ayer.
