¡Cuidado! Cibercriminales suplantan a Booking.com y distribuyen malware

El equipo de Microsoft Threat Intelligence detectó una campaña de phishing, denominada Storm-1865, en la que los ciberatacantes suplantaban la identidad de Booking.com, agencia de viajes global, con el objetivo de vulnerar organizaciones de la industria hotelera y de viajes.

La campaña usa una técnica de ingeniería social denominada ClickFix para distribuir múltiples tipos de malware deiseñados para robar credenciales y realizar fraudes financieros, según detectó el equipo de Microsoft en diciembre de 2024.

En febrero de 2025, esta campaña seguía activa.

[TE RECOMENDAMOS: ¿Qué es el phishing, ciberestafa con la que te engañan a través de mensajes y correos?]

Conoce esta campaña de phishing a nombre de Booking.com

El ataque de phishing a nombre de Booking.com se dirige específicamente a individuos que trabajan en organizaciones del sector hotelero y de viajes en:

• América del Norte
• Oceanía
• Sur
• Sudeste asiático
• Europa

Además, los cibercriminales se acercan a aquellas organizaciones que probablemente trabajan con Booking.com y les envían correos electrónicos falsos que parecen provenir de la plataforma de viajes.

Detrás de Storm-1865 se encuentra un grupo de actividades relacionadas con campañas de phishing que conducen al robo de datos de pago y realizar cargos fraudulentos.

¿Cómo te engañan los cibercriminales?

La técnica ClickFix consiste en que el atacante trata de aprovechar la tendencia humana a resolver problemas cuando se recibe un mensaje con errores falsos o indicaciones que llevan a los usuarios a copiar, pegar y ejecutar comandos que descargan malware, según Microsoft.

“Esta necesidad de interacción del usuario podría hacer que el ataque pase desapercibido para las soluciones de seguridad convencionales y automatizadas”.

Microsoft

En este caso específico, se incita al usuario a usar un atajo de teclado para abrir una ventana de Windows en la que se debe pegar y ejecutar un comando que la página de phishing agrega al portapapeles.

¿Cómo funciona exactamente Storm-1865?

La campaña Storm-165 inicia al identificar organizaciones objetivo en el sector hotelero y de viajes, y se dirige a individuos en ellas que probablemente trabajen con Booking.com.

Posteriormente, los criminales envían correos electrónicos maliciosos que hacen referencia a los siguientes temas:

• Reseñas negativas de huéspedes
• Solicitudes de posibles clientes
• Oportunidades de promoción online
• Verificación de cuentas

El correo electrónico incluye un enlace o un archivo PDF, el cual dirige a las víctimas a una supuesta página de Booking.com.

Al hacer clic en el enlace, se abre una página web que muestra un CAPTCHA falso superpuesto sobre un fondo diseñado para imitar la página legítima del servicio de viajes.

La página falsa da la idea de que el portal usa verificaciones adicionales, lo que pretende dar al usuario una falsa sensación de seguridad y aumenta las posibilidades de engañarle, según Microsoft.

El sitio falso usa la técnica ClickFix en el CAPTCHA falso para descargar el malware, pues el usuario debe emplear un atajo para abrir la ventana “Ejecutar” de Windows, pegar y ejecutar un comando que la página agrega al portapapeles.

Hasta el momento, se ha identificado que esta campaña distribuye múltiples familias de malware común, incluyendo :

• XWorm
• Lumma stealer
• VenomRAT
• AsyncRAT
• Danabot
• NetSupport RAT

Cada uno de estos agentes maliciosos tiene la capacidad de robar datos financieros y credenciales para uso fraudulento, lo cual es una característica distintiva de la actividad de Storm-1865.

¿Cómo ha evolucionado esta campaña de phishing?

En 2023, Storm-1865 apuntó a huéspedes de hoteles usando Booking.com con técnicas de ingeniería social y malware similares.

Al año siguiente, la campaña se dirigió a compradores usuarios de plataformas de comercio electrónico con mensajes de phishing que llevaban a páginas de pago fraudulentas.

“La suma de ClickFix a las tácticas, técnicas y procedimientos (TTPs) de este actor de amenazas muestra cómo Storm-1865 está evolucionando en sus tipos de ataque para evitar ser detectado por las medidas de seguridad convencionales contra phishing y malware”.

Microsoft

Cabe destacar que Storm-1865 agrupa un conjunto de actividades que llevan a cabo campañas de phishing, lo que significa el robo de datos de pago y realización de cargos fraudulentos.

Estas campañas han estado vigentes, con un volumen creciente, desde, al menos, principios de 2023 y utilizan mensajes enviados a través de plataformas de proveedores, como agencias de viajes online, plataformas de comercio electrónico, y servicios de correo electrónico, como Gmail o iCloud Mail.

¿Cómo evitar caer en la campaña Storm-1865?

Microsoft compartió una serie de recomendaciones para prevenir ataques que vengan específicamente de la campaña de Storm-1865:

• Implementa y despliega métodos de autenticación resistentes a phishing
• Aplica la Autenticación Multifactor (MFA) en todas tus cuentas
• Elimina los usuarios excluidos de MFA
• Exige estrictamente MFA desde cualquier dispositivo en todas las ubicaciones en todo momento
• Configura Microsoft Defender para Office 365 para volver a verificar los enlaces al hacer clic
• Usa Safe Link para escanear y reescribir las URL y enlaces en correos o aplicaciones de Microsoft 365
• Usa navegadores como Microsoft Edge que admitan Microsoft Defender SmartScreen
  • Esta herramienta identifica y bloquea sitios maliciosos, incluyendo páginas de phishing
• Activa antivirus y protecciones basadas en machine learning en la nube
• Habilita la protección de red para evitar que las aplicaciones accedan a contenido malicioso
• Configura Microsoft Defender for Endpoint para responder de inmediato a las alertas de seguridad, cerrar brechas y reducir la cantidad de alertas
• Activa la purga automática hora cero en Office 365 para mover a cuarentena los correos peligrosos y eliminar de los buzones cualquier mensaje de phishing, spam o malware recibido

Además, se recomendó a los usuarios revisar la dirección de correo del remitente para asegurarse de que es legítima pasando el cursor sobre la dirección completa para asegurar que es legítima.

Microsoft también recordó que las organizaciones legítimas no envían mensajes de correo electrónico no solicitados ni hacen llamadas telefónicas no solicitadas para pedir información personal o financiera.

“Siempre acudir directamente a la web de la empresa que manda el correo para iniciar sesión en tu cuenta en lugar de pulsar enlaces”, dijo la empresa tecnológica.

Por otro lado, aconsejó desconfiar de notificaciones que insten a hacer clic en un enlace o abrir un archivo con urgencia o a partir de amenazas, pues se usa la sensación de urgencia para que las víctimas actúen sin pensar.

Finalmente, llamó a los usuarios a buscar errores tipográficos en los correos electrónicos que parezcan sospechosos, pues indicaría que el remitente no es una fuente legítima.

Incluso en las URL podría haber errores intencionales, como micros0ft[.]com, donde la segunda «o» ha sido reemplazada por «0», o rnicrosoft[.]com, donde la «m» ha sido reemplazada por «r» y «n».

Te recomendamos:

Video

Maestros de la CNTE convocan a paro de 72 horas

Video

Denuncian pérdida de más de 100 mil empleos en la frontera norte por aranceles

Video

Las de hoy | 14 de marzo de 2025

Video

La mañanera de Claudia Sheinbaum, 14 de marzo de 2025