Una reciente alerta de Microsoft Threat Intelligence ha puesto de manifiesto una alarmante campaña de phishing que se hace pasar por la popular agencia de viajes online Booking.com. Este ataque, detectado en diciembre de 2024, tiene como objetivo a diversas organizaciones dentro de la industria hotelera y de viajes. Utilizando una técnica conocida como ClickFix, los atacantes distribuyen múltiples tipos de malware diseñados para robar credenciales y facilitar fraudes financieros. A pesar del descubrimiento, esta amenaza continuaba activa en febrero de 2025.
Los correos electrónicos maliciosos están dirigidos a empleados de empresas del sector turístico en regiones como América del Norte, Oceanía, el sur y sudeste asiático, así como en toda Europa. Los mensajes falsos son elaborados para parecer que provienen legítimamente de Booking.com, lo que aumenta el riesgo de que los destinatarios caigan en la trampa.
La técnica ClickFix aprovecha la tendencia humana a resolver problemas ante errores falsos o indicaciones engañosas. Esto lleva a los usuarios a copiar, pegar y ejecutar comandos que resultan en la descarga de malware. En este caso particular, se incita al usuario a utilizar un atajo de teclado que abre una ventana de ejecución en Windows, donde se les pide pegar un comando previamente copiado desde la página fraudulenta.
Microsoft ha identificado esta actividad bajo el nombre Storm-1865, un grupo responsable de campañas que culminan en el robo de datos financieros y cargos fraudulentos. Para mitigar el impacto de estos ataques, es fundamental capacitar a los usuarios para reconocer fraudes y adoptar medidas preventivas adecuadas.
Storm-1865 selecciona cuidadosamente sus objetivos dentro del sector hotelero y turístico, enviando correos electrónicos que mencionan reseñas negativas, solicitudes de clientes potenciales o verificaciones de cuentas. Estos mensajes incluyen enlaces o archivos PDF que redirigen a páginas web diseñadas para imitar Booking.com.
Al hacer clic en estos enlaces, los usuarios son llevados a una página con un CAPTCHA falso superpuesto sobre un diseño similar al original. Este truco busca generar confianza en el usuario mientras se ejecuta el código malicioso mediante mshta.exe.
La campaña está diseñada para distribuir varias familias de malware, entre las cuales se encuentran XWorm, Lumma stealer, VenomRAT, AsyncRAT, Danabot y NetSupport RAT. Dependiendo del método específico utilizado, el código puede descargar contenido diverso como PowerShell o JavaScript.
Todas estas variantes tienen la capacidad de robar información financiera y credenciales para su uso fraudulento. Desde 2023, Storm-1865 ha evolucionado sus tácticas para evitar ser detectado por soluciones convencionales contra phishing y malware.
Microsoft atribuye estas actividades fraudulentas a Storm-1865, un grupo cuyo volumen ha crecido desde principios de 2023. Utilizan plataformas como agencias de viajes online y servicios de correo electrónico para llevar a cabo sus ataques.
Para protegerse contra estas amenazas, se recomienda:
Microsoft también aconseja implementar métodos robustos para autenticar usuarios y configurar herramientas avanzadas que protejan contra enlaces maliciosos y ataques similares.
Para detalles técnicos adicionales sobre detección y prevención frente a estas amenazas, puedes consultar el banco informativo completo en el blog oficial de Microsoft Security.