Microsoft ha arrojado luz sobre una campaña de phishing en curso dirigida al sector hotelero haciéndose pasar por la agencia de viajes en línea Booking.com y utilizando una técnica de ingeniería social cada vez más popular llamada ClickFix para distribuir malware que roba credenciales.
La actividad, según el gigante tecnológico, comenzó en diciembre de 2024 y opera con el objetivo final de cometer fraude y robo financiero. Está rastreando la campaña bajo el nombre Storm-1865 .
«Este ataque de phishing se dirige específicamente a personas de organizaciones hoteleras en América del Norte, Oceanía, el sur y el sudeste de Asia, y el norte, sur, este y oeste de Europa, que probablemente trabajen con Booking.com, enviando correos electrónicos falsos que supuestamente provienen de la agencia», dijo Microsoft en un informe compartido con The Hacker News.
La técnica ClickFix se ha extendido en los últimos meses, ya que engaña a los usuarios para que ejecuten malware con el pretexto de corregir un error supuesto (es decir, inexistente) copiando, pegando y ejecutando instrucciones engañosas que activan el proceso de infección. Se detectó por primera vez en octubre de 2023.
La secuencia de ataque comienza con Storm-1865 enviando un correo electrónico malicioso a una persona específica sobre una reseña negativa de un supuesto huésped en Booking.com, solicitándole su opinión. El mensaje también incluye un enlace o un archivo PDF adjunto que aparentemente dirige a los destinatarios a la plataforma de reservas.
Sin embargo, en realidad, al hacer clic, la víctima accede a una página falsa de verificación CAPTCHA superpuesta sobre un fondo sutilmente visible, diseñado para imitar una página legítima de Booking.com. Con esto, la idea es crear una falsa sensación de seguridad y aumentar la probabilidad de un ataque exitoso.
«El CAPTCHA falso consiste en que la página web utiliza la técnica de ingeniería social ClickFix para descargar la carga maliciosa», declaró Microsoft. «Esta técnica indica al usuario que use un atajo de teclado para abrir la ventana Ejecutar de Windows y, a continuación, pegue y ejecute un comando que la página web añade al portapapeles».
El comando, en pocas palabras, utiliza el binario legítimo mshta.exe para dejar caer la carga útil de la siguiente etapa, que incluye varias familias de malware como XWorm, Lumma stealer, VenomRAT, AsyncRAT, Danabot y NetSupport RAT.
Redmond afirmó haber observado previamente que Storm-1865 atacaba a compradores que utilizaban plataformas de comercio electrónico con mensajes de phishing que conducían a páginas web de pago fraudulentas. Por lo tanto, la incorporación de la técnica ClickFix ilustra una evolución táctica diseñada para eludir las medidas de seguridad convencionales contra el phishing y el malware.
«El actor de amenazas que Microsoft rastrea como Storm-1865 encapsula un conjunto de actividades que realizan campañas de phishing, lo que conduce al robo de datos de pago y a cargos fraudulentos», agregó.
Estas campañas se han estado realizando con un volumen creciente desde al menos principios de 2023 e incluyen mensajes enviados a través de plataformas de proveedores, como agencias de viajes en línea y plataformas de comercio electrónico, y servicios de correo electrónico, como Gmail o iCloud Mail.
Storm-1865 representa solo una de las muchas campañas que han utilizado ClickFix como vector de distribución de malware. La eficacia de esta técnica es tal que incluso grupos estatales rusos e iraníes como APT28 y MuddyWater la han adoptado para atraer a sus víctimas.
«Cabe destacar que el método aprovecha el comportamiento humano: al presentar una ‘solución’ plausible a un problema percibido, los atacantes transfieren la carga de la ejecución al usuario, eludiendo eficazmente muchas defensas automatizadas», afirmó Group-IB en un informe independiente publicado hoy.
Una de estas campañas, documentada por la empresa de ciberseguridad singapurense, consiste en utilizar ClickFix para instalar un descargador llamado SMOKESABER, que a su vez sirve de conducto para Lumma Stealer. Otras campañas se han aprovechado del malvertising, el envenenamiento SEO, los problemas de GitHub y el spam en foros o redes sociales con enlaces a páginas de ClickFix.
«La técnica ClickFix marca una evolución en las estrategias de ingeniería social adversaria, aprovechando la confianza del usuario y la funcionalidad del navegador para la distribución de malware», afirmó Group-IB. «La rápida adopción de este método tanto por parte de ciberdelincuentes como de grupos APT subraya su eficacia y su baja barrera técnica».
A continuación se enumeran algunas de las otras campañas de ClickFix que se han documentado:
- Uso de verificaciones CAPTCHA falsas para iniciar un proceso de ejecución de PowerShell de varias etapas, que en última instancia entrega información a ladrones como Lumma y Vidar
- Uso de desafíos falsos de Google reCAPTCHA por parte de un actor de amenazas llamado Blind Eagle para implementar malware
- Uso de enlaces de confirmación de reserva falsos para redirigir a los usuarios a páginas de verificación CAPTCHA que conducen a Lumma Stealer
- Uso de sitios falsos con temática de Windows para redirigir a los usuarios a páginas de verificación CAPTCHA que conducen a Lumma Stealer
Los diversos mecanismos de infección de Lumma Stealer quedan ejemplificados además por el descubrimiento de otra campaña que utiliza repositorios falsos de GitHub con contenido de inteligencia artificial (IA) para distribuir el ladrón a través de un cargador denominado SmartLoader.
«Estos repositorios maliciosos se disfrazan de herramientas no maliciosas, incluyendo trucos para juegos, software pirateado y utilidades de criptomonedas», declaró Trend Micro en un análisis publicado a principios de esta semana. «La campaña atrae a las víctimas con promesas de funcionalidades gratuitas o ilícitas no autorizadas, incitándolas a descargar archivos ZIP (p. ej., Release.zip, Software.zip)».
La operación sirve para resaltar cómo los actores de amenazas están abusando de la confianza asociada con plataformas populares como GitHub para la propagación de malware.
Los hallazgos surgen cuando Trustwave detalló una campaña de phishing por correo electrónico que utiliza señuelos relacionados con facturas para distribuir una versión actualizada de otro malware ladrón llamado StrelaStealer , que se evalúa que es operado por un solo actor de amenazas denominado Hive0145 .
Las muestras de StrelaStealer incluyen ofuscación multicapa personalizada y aplanamiento del flujo de código para complicar su análisis, afirmó la compañía . Se ha informado que el actor de amenazas podría haber desarrollado un cifrador especializado llamado ‘Stellar loader’, específicamente para usarse con StrelaStealer.
Fuente y redacción: the hackernews.com
