Booking es suplantada en una campaña de phishing dirigida a empresas de turismo
- Actualidad
Los ciberdelincuentes utilizan una técnica de ingeniería social denominada ClickFix, que aprovecha la tendencia humana a resolver problemas cuando recibimos mensajes con errores falsos, para instalar malware en los ordenadores de las víctimas con el fin de robar credenciales y realizar fraudes financieros.
En diciembre de 2024, Microsoft Threat Intelligence detectó una campaña de phishing en la que se suplantaba la agencia de viajes online Booking.com y que tenía como objetivo organizaciones en la industria hotelera y de viajes. La campaña utiliza una técnica de ingeniería social denominada ClickFix para distribuir múltiples tipos de malware diseñados para robar credenciales y realizar fraudes financieros. En febrero de 2025, esta campaña seguía activa.
Este ataque de phishing se dirige específicamente a individuos que trabajan en organizaciones del sector hotelero y de viajes en América del Norte, Oceanía, Sur y Sudeste Asiático, y toda Europa, y que probablemente trabajen con Booking.com, enviando correos electrónicos falsos que parecen provenir de la plataforma, los cuales hacen referencia a reseñas negativas de huéspedes, solicitudes de posibles clientes, oportunidades de promoción online, verificación de cuentas y otros temas.
ClickFix como técnica de ingeniería social
En la técnica ClickFix, el actor de amenaza intenta aprovechar la tendencia humana a resolver problemas cuando recibimos mensajes con errores falsos o indicaciones que llevan a los usuarios a copiar, pegar y ejecutar comandos que finalmente descargan malware. Esta necesidad de interacción del usuario podría hacer que el ataque pase desapercibido para las soluciones de seguridad convencionales y automatizadas.
En el caso de esta campaña de phishing, se incita al usuario a usar un atajo de teclado para abrir una ventana de Windows Ejecutar en la que pegar y ejecutar un comando que la página de phishing agrega al portapapeles. Esta campaña distribuye múltiples familias de malware común, incluyendo XWorm, Lumma stealer, VenomRAT, AsyncRAT, Danabot y NetSupport RAT. Dependiendo de la distribución específica, el código lanzado a través de mshta.exe varía. Algunas muestras han descargado contenido de PowerShell, JavaScript y Ejecutables Portables (PE).
Microsoft rastrea esta campaña bajo el nombre Storm-1865, actor de amenazas que agrupa un conjunto de actividades que llevan a cabo campañas de phishing, lo que significa el robo de datos de pago y realización de cargos fraudulentos. Estas campañas han estado vigentes, con un volumen creciente, desde, al menos, principios de 2023 y utilizan mensajes enviados a través de plataformas de proveedores, como agencias de viajes online, plataformas de comercio electrónico, y servicios de correo electrónico, como Gmail o iCloud Mail.
