Microsoft ha arrojado luz sobre una campaña de phishing en curso que se dirigió al sector de la hospitalidad al hacerse pasar por la agencia de viajes en línea Booking.com utilizando una técnica de ingeniería social cada vez más popular llamada ClickFix para ofrecer malware de robo de credenciales.
La actividad, dijo el gigante tecnológico, comenzó en diciembre de 2024 y opera con el objetivo final de realizar fraude financiero y robo. Está rastreando la campaña bajo el apodo Tormenta-1865.
«Este ataque de phishing se dirige específicamente a las personas en las organizaciones de hospitalidad en América del Norte, Oceanía, Sur y Sudeste de Asia, y el norte, sur, oriental y oeste de Europa, que tienen más probabilidades de trabajar con Booking.com, enviando correos electrónicos falsos que pretenden provenir de la agencia», dijo Microsoft en un informe compartido con Hacker News.
La técnica ClickFix se ha extendido en los últimos meses, ya que engaña a los usuarios para que ejecute malware bajo la apariencia de arreglar un error supuesto (es decir, inexistente) copiando, pegando y lanzando instrucciones engañosas que activan el proceso de infección. Se detectó por primera vez en la naturaleza en octubre de 2023.
La secuencia de ataque comienza con Storm-1865 enviando un correo electrónico malicioso a un individuo objetivo sobre una revisión negativa dejada por un supuesto invitado en Booking.com, y pidiéndoles sus «comentarios». El mensaje también incorpora un enlace, o un archivo adjunto PDF que contiene uno que aparentemente dirige a los destinatarios al sitio de reserva.
Sin embargo, en realidad, hacer clic en él lleva a la víctima a una página de verificación Captcha falsa que se superpone en un «fondo sutilmente visible diseñado para imitar una página legítima de Booking.com». Al hacerlo, la idea es prestar una falsa sensación de seguridad y aumentar la probabilidad de un compromiso exitoso.
«El Captcha falso es donde la página web emplea la técnica de ingeniería social ClickFix para descargar la carga útil maliciosa», dijo Microsoft. «Esta técnica instruye al usuario que use un atajo de teclado para abrir una ventana de ejecución de Windows, luego pegue y inicie un comando que la página web agrega al portapapeles».
El comando, en pocas palabras, utiliza el binario legítimo MSHTA.EXE para soltar la carga útil de la próxima etapa, que comprende varias familias de malware de productos básicos como Xworm, Lumma Stealer, Venomrat, Asyncrat, Danabot y NetSupport Rat.
Redmond dijo que previamente observó a los compradores Storm-1865 dirigidos a los compradores que utilizan plataformas de comercio electrónico con mensajes de phishing que conducen a páginas web de pago fraudulentas. La incorporación de la técnica ClickFix, por lo tanto, ilustra una evolución táctica diseñada para pasar más allá de las medidas de seguridad convencionales contra el phishing y el malware.
«El actor de amenaza que Microsoft rastrea como Storm-1865 encapsula un clúster de actividad que realiza campañas de phishing, lo que lleva al robo de datos de pago y los cargos fraudulentos», agregó.
«Estas campañas han estado en curso con un mayor volumen desde al menos a principios de 2023 e involucran mensajes enviados a través de plataformas de proveedores, como agencias de viajes en línea y plataformas de comercio electrónico, y servicios de correo electrónico, como Gmail o iCloud Mail».
Storm-1865 representa solo una de las muchas campañas que han adoptado ClickFix como vector para la distribución de malware. Tal es la efectividad de esta técnica que incluso los grupos de estado nación ruso e iraní como APT28 y Muddywater lo han adoptado para atraer a sus víctimas.
«En particular, el método aprovecha el comportamiento humano: al presentar una ‘solución’ plausible a un problema percibido, los atacantes cambian la carga de la ejecución al usuario, evitando efectivamente muchas defensas automatizadas», dijo Group-IB en un informe independiente publicado hoy.
Una de esas campañas documentada por la compañía de ciberseguridad de Singapur implica utilizar ClickFix para lanzar un descargador llamado Smokesaber, que luego sirve como un conducto para Lumma Stealer. Otras campañas han aprovechado la malvertición, el envenenamiento por SEO, los problemas de GitHub y los foros de spam o sitios de redes sociales con enlaces a las páginas de ClickFix.
«La técnica ClickFix marca una evolución en las estrategias de ingeniería social adversa, aprovechando la confianza del usuario y la funcionalidad del navegador para la implementación de malware», dijo el grupo-IB. «La rápida adopción de este método por parte de los ciberdelincuentes y los grupos APT subraya su efectividad y baja barrera técnica».
Algunas de las otras campañas de ClickFix que se han documentado se enumeran a continuación –
Los diversos mecanismos de infección de Lumma Stealer se ejemplifican aún más por el descubrimiento de otra campaña que utiliza repositorios de GitHub falsos con inteligencia artificial (IA): contenido para entregar el robador a través de un cargador conocido como SmartLoader.
«Estos repositorios maliciosos están disfrazados de herramientas no maliciosas, incluidos trucos de juegos, software agrietado y utilidades de criptomonedas», dijo Trend Micro en un análisis publicado a principios de esta semana. «La campaña atrae a las víctimas con promesas de funcionalidad no autorizada gratuita o ilícita, lo que les pide que descarguen archivos ZIP (por ejemplo, versión.zip, software.zip)».
La operación sirve para resaltar cómo los actores de amenaza están abusando de la confianza asociada con plataformas populares como GitHub para la propagación de malware.
Los hallazgos se producen cuando Trustwave detalló una campaña de phishing de correo electrónico que hace uso de señuelos relacionados con la factura para distribuir una versión actualizada de otro malware de robador llamado Strelastealer, que se evalúa por un solo actor de amenaza denominado Hive0145.
«Las muestras de Strelastealers incluyen ofuscación personalizada de múltiples capas y aplanamiento de flujo de código para complicar su análisis», dijo la compañía. «Se ha informado que el actor de amenaza desarrolló potencialmente un crypter especializado llamado ‘cargador estelar’, específicamente, para ser utilizado con el strelastealer».