Microsoft ha arrojado luz sobre una campaña de phishing en curso que se dirigió al sector de la hospitalidad al hacerse ocurrir por la agencia de viajes en tilde Booking.com utilizando una técnica de ingeniería social cada vez más popular señal ClickFix para ofrecer malware de robo de credenciales.
La actividad, dijo el coloso tecnológico, comenzó en diciembre de 2024 y opera con el objetivo final de realizar fraude financiero y robo. Está rastreando la campaña bajo el apodo Tormenta-1865.
“Este ataque de phishing se dirige específicamente a las personas en las organizaciones de hospitalidad en América del Boreal, Oceanía, Sur y Sudeste de Asia, y el ideal, sur, uruguayo y oeste de Europa, que tienen más probabilidades de trabajar con Booking.com, enviando correos electrónicos falsos que pretenden provenir de la agencia”, dijo Microsoft en un documentación compartido con Hacker News.
La técnica ClickFix se ha extendido en los últimos meses, ya que engaña a los usuarios para que ejecute malware bajo la apariencia de arreglar un error supuesto (es afirmar, inexistente) copiando, pegando y lanzando instrucciones engañosas que activan el proceso de infección. Se detectó por primera vez en la naturaleza en octubre de 2023.
La secuencia de ataque comienza con Storm-1865 enviando un correo electrónico taimado a un individuo objetivo sobre una revisión negativa dejada por un supuesto invitado en Booking.com, y pidiéndoles sus “comentarios”. El mensaje además incorpora un enlace, o un archivo adjunto PDF que contiene uno que aparentemente dirige a los destinatarios al sitio de reserva.
Sin bloqueo, en ingenuidad, hacer clic en él lleva a la víctima a una página de comprobación Captcha falsa que se superpone en un “fondo sutilmente visible diseñado para imitar una página legítima de Booking.com”. Al hacerlo, la idea es prestar una falsa sensación de seguridad y aumentar la probabilidad de un compromiso exitoso.
“El Captcha hipócrita es donde la página web emplea la técnica de ingeniería social ClickFix para descargar la carga útil maliciosa”, dijo Microsoft. “Esta técnica instruye al agraciado que use un hato de teclado para rajar una ventana de ejecución de Windows, luego pegue y inicie un comando que la página web agrega al portapapeles”.
El comando, en pocas palabras, utiliza el binario verdadero MSHTA.EXE para soltar la carga útil de la próxima etapa, que comprende varias familias de malware de productos básicos como Xworm, Lumma Stealer, Venomrat, Asyncrat, Danabot y NetSupport Rat.
Redmond dijo que previamente observó a los compradores Storm-1865 dirigidos a los compradores que utilizan plataformas de comercio electrónico con mensajes de phishing que conducen a páginas web de cuota fraudulentas. La incorporación de la técnica ClickFix, por lo tanto, ilustra una desarrollo táctica diseñada para ocurrir más allá de las medidas de seguridad convencionales contra el phishing y el malware.
“El actor de amenaza que Microsoft rastrea como Storm-1865 encapsula un clúster de actividad que realiza campañas de phishing, lo que lleva al robo de datos de cuota y los cargos fraudulentos”, agregó.
“Estas campañas han estado en curso con un anciano pandeo desde al menos a principios de 2023 e involucran mensajes enviados a través de plataformas de proveedores, como agencias de viajes en tilde y plataformas de comercio electrónico, y servicios de correo electrónico, como Gmail o iCloud Mail”.
Storm-1865 representa solo una de las muchas campañas que han recogido ClickFix como vector para la distribución de malware. Tal es la efectividad de esta técnica que incluso los grupos de estado nación ruso e iraní como APT28 y Muddywater lo han recogido para atraer a sus víctimas.
“En particular, el método aprovecha el comportamiento humano: al presentar una ‘alternativa’ plausible a un problema percibido, los atacantes cambian la carga de la ejecución al agraciado, evitando efectivamente muchas defensas automatizadas”, dijo Group-IB en un documentación independiente publicado hoy.
Una de esas campañas documentada por la compañía de ciberseguridad de Singapur implica utilizar ClickFix para editar un descargador llamado Smokesaber, que luego sirve como un conducto para Lumma Stealer. Otras campañas han laborioso la malvertición, el envenenamiento por SEO, los problemas de GitHub y los foros de spam o sitios de redes sociales con enlaces a las páginas de ClickFix.
“La técnica ClickFix marca una desarrollo en las estrategias de ingeniería social adversa, aprovechando la confianza del agraciado y la funcionalidad del navegador para la implementación de malware”, dijo el grupo-IB. “La rápida apadrinamiento de este método por parte de los ciberdelincuentes y los grupos APT subraya su efectividad y pérdida barrera técnica”.
Algunas de las otras campañas de ClickFix que se han documentado se enumeran a continuación –
Los diversos mecanismos de infección de Lumma Stealer se ejemplifican aún más por el descubrimiento de otra campaña que utiliza repositorios de GitHub falsos con inteligencia sintético (IA): contenido para entregar el robador a través de un cargador conocido como SmartLoader.
“Estos repositorios maliciosos están disfrazados de herramientas no maliciosas, incluidos trucos de juegos, software agrietado y utilidades de criptomonedas”, dijo Trend Micro en un prospección publicado a principios de esta semana. “La campaña atrae a las víctimas con promesas de funcionalidad no autorizada gratuita o ilícita, lo que les pide que descarguen archivos ZIP (por ejemplo, lectura.zip, software.zip)”.
La operación sirve para resaltar cómo los actores de amenaza están abusando de la confianza asociada con plataformas populares como GitHub para la propagación de malware.
Los hallazgos se producen cuando Trustwave detalló una campaña de phishing de correo electrónico que hace uso de señuelos relacionados con la extracto para distribuir una lectura actualizada de otro malware de robador llamado Strelastealer, que se evalúa por un solo actor de amenaza denominado Hive0145.
“Las muestras de Strelastealers incluyen ofuscación personalizada de múltiples capas y aplanamiento de flujo de código para complicar su prospección”, dijo la compañía. “Se ha informado que el actor de amenaza desarrolló potencialmente un crypter especializado llamado ‘cargador sideral’, específicamente, para ser utilizado con el strelastealer”.
