Microsoft ha arrojado luz sobre una campaña de phishing en curso que se dirigió al sector de la hospitalidad al hacerse acaecer por la agencia de viajes en trayecto Booking.com utilizando una técnica de ingeniería social cada vez más popular emplazamiento ClickFix para ofrecer malware de robo de credenciales.
La actividad, dijo el gigantesco tecnológico, comenzó en diciembre de 2024 y opera con el objetivo final de realizar fraude financiero y robo. Está rastreando la campaña bajo el apodo Tormenta-1865.
«Este ataque de phishing se dirige específicamente a las personas en las organizaciones de hospitalidad en América del Boreal, Oceanía, Sur y Sudeste de Asia, y el ártico, sur, este y este de Europa, que tienen más probabilidades de trabajar con Booking.com, enviando correos electrónicos falsos que pretenden provenir de la agencia», dijo Microsoft en un mensaje compartido con Hacker News.
La técnica ClickFix se ha extendido en los últimos meses, ya que engaña a los usuarios para que ejecute malware bajo la apariencia de arreglar un error supuesto (es opinar, inexistente) copiando, pegando y lanzando instrucciones engañosas que activan el proceso de infección. Se detectó por primera vez en la naturaleza en octubre de 2023.
La secuencia de ataque comienza con Storm-1865 enviando un correo electrónico sagaz a un individuo objetivo sobre una revisión negativa dejada por un supuesto invitado en Booking.com, y pidiéndoles sus «comentarios». El mensaje todavía incorpora un enlace, o un archivo adjunto PDF que contiene uno que aparentemente dirige a los destinatarios al sitio de reserva.
Sin bloqueo, en verdad, hacer clic en él lleva a la víctima a una página de comprobación Captcha falsa que se superpone en un «fondo sutilmente visible diseñado para imitar una página legítima de Booking.com». Al hacerlo, la idea es prestar una falsa sensación de seguridad y aumentar la probabilidad de un compromiso exitoso.
«El Captcha ficticio es donde la página web emplea la técnica de ingeniería social ClickFix para descargar la carga útil maliciosa», dijo Microsoft. «Esta técnica instruye al beneficiario que use un tropel de teclado para rajar una ventana de ejecución de Windows, luego pegue y inicie un comando que la página web agrega al portapapeles».
El comando, en pocas palabras, utiliza el binario genuino MSHTA.EXE para soltar la carga útil de la próxima etapa, que comprende varias familias de malware de productos básicos como Xworm, Lumma Stealer, Venomrat, Asyncrat, Danabot y NetSupport Rat.
Redmond dijo que previamente observó a los compradores Storm-1865 dirigidos a los compradores que utilizan plataformas de comercio electrónico con mensajes de phishing que conducen a páginas web de cuota fraudulentas. La incorporación de la técnica ClickFix, por lo tanto, ilustra una desarrollo táctica diseñada para acaecer más allá de las medidas de seguridad convencionales contra el phishing y el malware.
«El actor de amenaza que Microsoft rastrea como Storm-1865 encapsula un clúster de actividad que realiza campañas de phishing, lo que lleva al robo de datos de cuota y los cargos fraudulentos», agregó.
«Estas campañas han estado en curso con un anciano barriguita desde al menos a principios de 2023 e involucran mensajes enviados a través de plataformas de proveedores, como agencias de viajes en trayecto y plataformas de comercio electrónico, y servicios de correo electrónico, como Gmail o iCloud Mail».
Storm-1865 representa solo una de las muchas campañas que han acogido ClickFix como vector para la distribución de malware. Tal es la efectividad de esta técnica que incluso los grupos de estado nación ruso e iraní como APT28 y Muddywater lo han acogido para atraer a sus víctimas.
«En particular, el método aprovecha el comportamiento humano: al presentar una ‘posibilidad’ plausible a un problema percibido, los atacantes cambian la carga de la ejecución al beneficiario, evitando efectivamente muchas defensas automatizadas», dijo Group-IB en un mensaje independiente publicado hoy.
Una de esas campañas documentada por la compañía de ciberseguridad de Singapur implica utilizar ClickFix para propalar un descargador llamado Smokesaber, que luego sirve como un conducto para Lumma Stealer. Otras campañas han estudioso la malvertición, el envenenamiento por SEO, los problemas de GitHub y los foros de spam o sitios de redes sociales con enlaces a las páginas de ClickFix.
«La técnica ClickFix marca una desarrollo en las estrategias de ingeniería social adversa, aprovechando la confianza del beneficiario y la funcionalidad del navegador para la implementación de malware», dijo el grupo-IB. «La rápida prohijamiento de este método por parte de los ciberdelincuentes y los grupos APT subraya su efectividad y desvaloración barrera técnica».
Algunas de las otras campañas de ClickFix que se han documentado se enumeran a continuación –
Los diversos mecanismos de infección de Lumma Stealer se ejemplifican aún más por el descubrimiento de otra campaña que utiliza repositorios de GitHub falsos con inteligencia químico (IA): contenido para entregar el robador a través de un cargador conocido como SmartLoader.
«Estos repositorios maliciosos están disfrazados de herramientas no maliciosas, incluidos trucos de juegos, software agrietado y utilidades de criptomonedas», dijo Trend Micro en un disección publicado a principios de esta semana. «La campaña atrae a las víctimas con promesas de funcionalidad no autorizada gratuita o ilícita, lo que les pide que descarguen archivos ZIP (por ejemplo, lectura.zip, software.zip)».
La operación sirve para resaltar cómo los actores de amenaza están abusando de la confianza asociada con plataformas populares como GitHub para la propagación de malware.
Los hallazgos se producen cuando Trustwave detalló una campaña de phishing de correo electrónico que hace uso de señuelos relacionados con la disposición para distribuir una lectura actualizada de otro malware de robador llamado Strelastealer, que se evalúa por un solo actor de amenaza denominado Hive0145.
«Las muestras de Strelastealers incluyen ofuscación personalizada de múltiples capas y aplanamiento de flujo de código para complicar su disección», dijo la compañía. «Se ha informado que el actor de amenaza desarrolló potencialmente un crypter especializado llamado ‘cargador astral’, específicamente, para ser utilizado con el strelastealer».
