Los investigadores de ciberseguridad han llamado la atención sobre una campaña masiva de phishing dirigida a la industria hotelera que atrae a los gerentes de hoteles a páginas estilo ClickFix y recolectan sus credenciales mediante la implementación de malware como PureRAT.
«El modus operandi del atacante implicaba utilizar una cuenta de correo electrónico comprometida para destinar mensajes maliciosos a múltiples establecimientos hoteleros», dijo Sekoia. «Esta campaña aprovecha los correos electrónicos de phishing que se hacen tener lugar por Booking.com para redirigir a las víctimas a sitios web maliciosos, empleando la táctica de ingeniería social ClickFix para implementar PureRAT».
El objetivo final de la campaña es robar credenciales de sistemas comprometidos que otorgan a los actores de amenazas llegada no acreditado a plataformas de reservas como Booking.com o Expedia, que luego se venden en foros de cibercrimen o se utilizan para destinar correos electrónicos fraudulentos a los clientes de los hoteles para realizar fraudes.
Se evalúa que la actividad está activa desde al menos abril de 2025 y operativa a principios de octubre de 2025. Es una de las varias campañas que se han observado como objetivo, incluido un conjunto de ataques que Microsoft documentó a principios de marzo.
En la última ola analizada por la compañía francesa de ciberseguridad, los mensajes de correo electrónico se envían desde una cuenta de correo electrónico comprometida a varios hoteles en varios países, engañando a los destinatarios para que hagan clic en enlaces falsos que desencadenan una dependencia de redireccionamiento a una página ClickFix con un supuesto desafío reCAPTCHA para «avalar la seguridad de su conexión».
«Al inspeccionar, la URL redirige a los usuarios a una página web que aloja JavaScript con una función asincrónica que, posteriormente de un breve retraso, verifica si la página se mostró internamente de un iframe», explicó Sekoia. «El objetivo es redirigir al heredero a la misma URL pero a través de HTTP».
Esto hace que la víctima copie y ejecute un comando PowerShell taimado que recopila información del sistema y descarga un archivo ZIP que, a su vez, contiene un binario que finalmente configura la persistencia y carga PureRAT (igualmente conocido como zgRAT) mediante carga adjunto de DLL.
El malware modular admite una amplia tono de funciones, como llegada remoto, control de mouse y teclado, captura de cámara web y micrófono, registro de teclas, carga/descarga de archivos, proxy de tráfico, exfiltración de datos y ejecución remota de comandos o binarios. Además está protegido por .NET Reactor para complicar la ingeniería inversa y igualmente establece persistencia en el host mediante la creación de una secreto de registro Ejecutar.
Por otra parte, se ha descubierto que la campaña se acerca a los clientes del hotel a través de WhatsApp o correo electrónico con detalles legítimos de la reserva, mientras les indica que hagan clic en un enlace como parte de un proceso de demostración y confirmen los detalles de su plástico bancaria para evitar que se cancelen sus reservas.
Los usuarios desprevenidos que terminan haciendo clic en el enlace son dirigidos a una página de destino falsa que imita a Booking.com o Expedia, pero que, en sinceridad, está diseñada para robar la información de su plástico.
Se estima que los actores de amenazas detrás del plan están obteniendo información sobre los administradores de los establecimientos Booking.com de foros criminales como LolzTeam, y en algunos casos incluso ofrecen un suscripción basado en un porcentaje de las ganancias. Los detalles adquiridos se utilizan luego para realizar ingeniería social para que infecten sus sistemas con un caco de información o un troyano de llegada remoto (RAT). Esta tarea se subcontrata selectivamente a traficantes, que son especialistas dedicados a cargo de la distribución de malware.
«Las cuentas de extranet de Booking.com desempeñan un papel crucial en los esquemas fraudulentos dirigidos a la industria hotelera», afirmó Sekoia. «En consecuencia, los datos recopilados de estas cuentas se han convertido en un producto productivo que se ofrece regularmente a la cesión en mercados ilícitos».
«Los atacantes intercambian estas cuentas como cookies de autenticación o pares de inicio de sesión/contraseña extraídos de registros de ladrones de información, poliedro que estos datos recopilados generalmente se originan a partir de malware comprometido en los sistemas de los administradores del hotel».
La compañía dijo que observó un autómata de Telegram para comprar registros de Booking.com, así como un actor de amenazas llamado «moderator_booking» que anunciaba un servicio de negocio de registros de Booking para obtener registros asociados con Booking.com, Expedia, Airbnb y Agoda. Afirman que los registros se verifican manualmente en un plazo de 24 a 48 horas.
Esto generalmente se logra mediante herramientas de demostración de registros, disponibles por tan solo $40 en foros de cibercrimen, que autentican las cuentas comprometidas a través de servidores proxy para avalar que las credenciales recopiladas sigan siendo válidas.
«La proliferación de servicios de cibercrimen que respaldan cada paso de la dependencia de ataque de Booking.com refleja una profesionalización de este maniquí de fraude», afirmó Sekoia. «Al adoptar el maniquí ‘como servicio’, los ciberdelincuentes reducen las barreras de entrada y maximizan las ganancias».
El incremento se produce cuando Push Security detalló una aggiornamento de la táctica de ingeniería social ClickFix que la hace aún más convincente para los usuarios al incluir un video incrustado, un temporizador de cuenta regresiva y un contador para «usuarios verificados en la última hora» unido con instrucciones para aumentar la autenticidad percibida y engañar al heredero para que complete la demostración sin pensar demasiado.
Otra aggiornamento sobresaliente es que la página es capaz de adaptarse para mostrar instrucciones que coincidan con el sistema operante de la víctima, pidiéndole que refugio el cuadro de diálogo Ejecutar de Windows o la aplicación Terminal macOS según el dispositivo desde el que esté visitando. Las páginas igualmente están cada vez más equipadas para copiar automáticamente el código taimado al portapapeles del heredero, una técnica emplazamiento secuestro del portapapeles.
«Las páginas ClickFix se están volviendo cada vez más sofisticadas, lo que hace más probable que las víctimas caigan en la ingeniería social», dijo Push Security. «Las cargas enseres de ClickFix son cada vez más variadas y están encontrando nuevas formas de eludir los controles de seguridad».
