Recientemente, el equipo de Microsoft Threat Intelligence identificó una campaña de phishing activa conocida como Storm-1865, dirigida a empresas del sector hotelero y de viajes. Esta operación fraudulenta, que tiene como objetivo el robo de datos y fraudes financieros, usa la técnica ClickFix para engañar a las víctimas y distribuir malware diseñado para robar credenciales y realizar cargos ilícitos.

La campaña ha estado en curso desde diciembre de 2024, y, para febrero de 2025, seguía operativa, afectando principalmente a organizaciones en regiones como América del Norte, Oceanía, Sudeste Asiático y Europa. El ataque tiene como fachada a Booking.com, una de las agencias de viajes más reconocidas a nivel mundial, utilizando correos electrónicos falsos que aparentan provenir de la plataforma.

¿Cómo engañan los cibercriminales?

La clave de esta campaña es la ingeniería social. Mediante la técnica ClickFix, los atacantes explotan la tendencia humana a querer solucionar problemas. En este caso, los usuarios reciben correos que incluyen un enlace o un archivo PDF que los dirige a un falso sitio web de Booking.com, donde se simula un CAPTCHA para dar la sensación de que es una página legítima. Al interactuar con el falso CAPTCHA, se le solicita a la víctima que utilice un atajo de teclado para abrir la ventana "Ejecutar" de Windows, en la cual debe pegar y ejecutar un comando que descarga el malware.

Malware distribuido en la campaña Storm-1865

Los ataques de Storm-1865 distribuyen varias familias de malware, entre ellas:

• XWorm
• Lumma Stealer
• VenomRAT
• AsyncRAT
• Danabot
• NetSupport RAT

Cada uno de estos malwares tiene la capacidad de robar datos sensibles, como credenciales bancarias y otras informaciones financieras, que son utilizadas para realizar fraudes. Estos datos robados también pueden ser utilizados para robar información personal y realizar cargos ilegales en cuentas de los afectados.

Evolución de Storm-1865

Aunque la campaña comenzó en 2023 con ataques dirigidos a huéspedes de hoteles que reservaban en Booking.com, para 2024 los atacantes ampliaron su foco hacia compradores y usuarios de plataformas de comercio electrónico, llevando a las víctimas a sitios de pago fraudulentos.

Según los expertos de Microsoft, el uso de ClickFix en combinación con las tácticas previas ha permitido a los cibercriminales mejorar su evasión ante las soluciones de seguridad convencionales, lo que hace más difícil la detección de la amenaza.

¿Cómo protegerse de esta amenaza?

Para prevenir caer en esta campaña y otros ataques similares, los expertos recomiendan tomar medidas como:

• Autenticación Multifactor (MFA) en todas las cuentas.
• Utilizar herramientas de protección como Microsoft Defender para escanear enlaces y archivos sospechosos.
• Revisar cuidadosamente la dirección de correo del remitente para asegurarse de que es legítima.
• Evitar hacer clic en enlaces o abrir archivos no solicitados o urgentes que puedan inducir a la acción rápida.
• Desconfiar de correos que presenten errores tipográficos o URLs sospechosas, como micros0ft.com en lugar de microsoft.com.

Además, se recomienda que los usuarios accedan directamente a la página web de la empresa involucrada, en lugar de hacer clic en enlaces de correos electrónicos no solicitados.

¿Quieres saber más sobre lo que está pasando en Puebla hoy? ¡Sigue explorando nuestro sitio para mantenerte informado!

foto cortesía 

xmh