Noticias

Alerta por phishing: malware se disfraza de Booking.com para robar datos

Agencias | Jueves 13 de marzo de 2025

Una reciente alerta de Microsoft Threat Intelligence ha puesto de manifiesto una alarmante campaña de phishing que se hace pasar por la popular agencia de viajes online Booking.com. Este ataque, detectado en diciembre de 2024, tiene como objetivo a diversas organizaciones dentro de la industria hotelera y de viajes. Utilizando una técnica conocida como ClickFix, los atacantes distribuyen múltiples tipos de malware diseñados para robar credenciales y facilitar fraudes financieros. A pesar del descubrimiento, esta amenaza continuaba activa en febrero de 2025.

Los correos electrónicos maliciosos están dirigidos a empleados de empresas del sector turístico en regiones como América del Norte, Oceanía, el sur y sudeste asiático, así como en toda Europa. Los mensajes falsos son elaborados para parecer que provienen legítimamente de Booking.com, lo que aumenta el riesgo de que los destinatarios caigan en la trampa.

Ingeniería social al servicio del fraude

La técnica ClickFix aprovecha la tendencia humana a resolver problemas ante errores falsos o indicaciones engañosas. Esto lleva a los usuarios a copiar, pegar y ejecutar comandos que resultan en la descarga de malware. En este caso particular, se incita al usuario a utilizar un atajo de teclado que abre una ventana de ejecución en Windows, donde se les pide pegar un comando previamente copiado desde la página fraudulenta.

Microsoft ha identificado esta actividad bajo el nombre Storm-1865, un grupo responsable de campañas que culminan en el robo de datos financieros y cargos fraudulentos. Para mitigar el impacto de estos ataques, es fundamental capacitar a los usuarios para reconocer fraudes y adoptar medidas preventivas adecuadas.

Corrupción digital disfrazada

Storm-1865 selecciona cuidadosamente sus objetivos dentro del sector hotelero y turístico, enviando correos electrónicos que mencionan reseñas negativas, solicitudes de clientes potenciales o verificaciones de cuentas. Estos mensajes incluyen enlaces o archivos PDF que redirigen a páginas web diseñadas para imitar Booking.com.

Al hacer clic en estos enlaces, los usuarios son llevados a una página con un CAPTCHA falso superpuesto sobre un diseño similar al original. Este truco busca generar confianza en el usuario mientras se ejecuta el código malicioso mediante mshta.exe.

Múltiples amenazas bajo un mismo esquema

La campaña está diseñada para distribuir varias familias de malware, entre las cuales se encuentran XWorm, Lumma stealer, VenomRAT, AsyncRAT, Danabot y NetSupport RAT. Dependiendo del método específico utilizado, el código puede descargar contenido diverso como PowerShell o JavaScript.

Todas estas variantes tienen la capacidad de robar información financiera y credenciales para su uso fraudulento. Desde 2023, Storm-1865 ha evolucionado sus tácticas para evitar ser detectado por soluciones convencionales contra phishing y malware.

Atribución y recomendaciones preventivas

Microsoft atribuye estas actividades fraudulentas a Storm-1865, un grupo cuyo volumen ha crecido desde principios de 2023. Utilizan plataformas como agencias de viajes online y servicios de correo electrónico para llevar a cabo sus ataques.

Para protegerse contra estas amenazas, se recomienda:

  • Verificar la dirección del remitente: Asegurarse siempre de que sea legítima antes de interactuar con cualquier mensaje sospechoso.
  • Contactar directamente al proveedor: Si recibes un mensaje dudoso, utiliza canales oficiales para verificar su autenticidad.
  • No ceder ante la urgencia: Desconfía si te instan a actuar rápidamente sin comprobar primero la legitimidad del mensaje.
  • Pasar el cursor sobre los enlaces: Esto permite observar la URL completa antes de hacer clic.
  • Cuidado con errores tipográficos: Los correos electrónicos fraudulentos suelen contener errores gramaticales o tipográficos evidentes.

Microsoft también aconseja implementar métodos robustos para autenticar usuarios y configurar herramientas avanzadas que protejan contra enlaces maliciosos y ataques similares.

Más información técnica disponible

Para detalles técnicos adicionales sobre detección y prevención frente a estas amenazas, puedes consultar el banco informativo completo en el blog oficial de Microsoft Security.


Noticias relacionadas