Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Microsoft advierte sobre la campaña de phishing de clickfix dirigida al sector de hospitalidad a través de la reserva falsa[.]Correos electrónicos com
  • Tecnología

Microsoft advierte sobre la campaña de phishing de clickfix dirigida al sector de hospitalidad a través de la reserva falsa[.]Correos electrónicos com

teknomers 13 de Mart de 2025 (Last updated: 13 de Mart de 2025) 6 minutes read
Microsoft advierte sobre la campaña de phishing de clickfix dirigida


Microsoft ha arrojado luz sobre una campaña de phishing en curso que se dirigió al sector de la hospitalidad al hacerse pasar por la agencia de viajes en línea Booking.com utilizando una técnica de ingeniería social cada vez más popular llamada ClickFix para ofrecer malware de robo de credenciales.

La actividad, dijo el gigante tecnológico, comenzó en diciembre de 2024 y opera con el objetivo final de realizar fraude financiero y robo. Está rastreando la campaña bajo el apodo Tormenta-1865.

“Este ataque de phishing se dirige específicamente a las personas en organizaciones de hospitalidad en América del Norte, Oceanía, sur y sudeste de Asia, y el norte, sur, oriental y oeste de Europa, que tienen más probabilidades de trabajar con Booking.com, enviando correos electrónicos falsos que pretenden provenir de la agencia”, Microsoft “, Microsoft dicho En un informe compartido con The Hacker News.

La técnica ClickFix se ha extendido en los últimos meses, ya que engaña a los usuarios para que ejecute malware bajo la apariencia de arreglar un error supuesto (es decir, inexistente) copiando, pegando y lanzando instrucciones engañosas que activan el proceso de infección. Se detectó por primera vez en la naturaleza en octubre de 2023.

La secuencia de ataque comienza con Storm-1865 enviando un correo electrónico malicioso a un individuo objetivo sobre una revisión negativa dejada por un supuesto invitado en Booking.com, y pidiéndoles sus “comentarios”. El mensaje también incorpora un enlace, o un archivo adjunto PDF que contiene uno que aparentemente dirige a los destinatarios al sitio de reserva.

Ciberseguridad

Sin embargo, en realidad, hacer clic en él lleva a la víctima a una página de verificación Captcha falsa que se superpone en un “fondo sutilmente visible diseñado para imitar una página legítima de Booking.com”. Al hacerlo, la idea es prestar una falsa sensación de seguridad y aumentar la probabilidad de un compromiso exitoso.

“El Captcha falso es donde la página web emplea la técnica de ingeniería social ClickFix para descargar la carga útil maliciosa”, dijo Microsoft. “Esta técnica instruye al usuario que use un atajo de teclado para abrir una ventana de ejecución de Windows, luego pegue y inicie un comando que la página web agrega al portapapeles”.

El comando, en pocas palabras, utiliza el binario legítimo MSHTA.EXE para soltar la carga útil de la próxima etapa, que comprende varias familias de malware de productos básicos como Xworm, Lumma Stealer, Venomrat, Asyncrat, Danabot y NetSupport Rat.

Redmond dijo que previamente observó a los compradores Storm-1865 dirigidos a los compradores que utilizan plataformas de comercio electrónico con mensajes de phishing que conducen a páginas web de pago fraudulentas. La incorporación de la técnica ClickFix, por lo tanto, ilustra una evolución táctica diseñada para pasar más allá de las medidas de seguridad convencionales contra el phishing y el malware.

“El actor de amenaza que Microsoft rastrea como Storm-1865 encapsula un clúster de actividad que realiza campañas de phishing, lo que lleva al robo de datos de pago y los cargos fraudulentos”, agregó.

“Estas campañas han estado en curso con un mayor volumen desde al menos a principios de 2023 e involucran mensajes enviados a través de plataformas de proveedores, como agencias de viajes en línea y plataformas de comercio electrónico, y servicios de correo electrónico, como Gmail o iCloud Mail”.

Storm-1865 representa solo una de las muchas campañas que han adoptado ClickFix como vector para la distribución de malware. Tal es la efectividad de esta técnica que incluso los grupos de estado nación ruso e iraní como APT28 y Muddywater lo han adoptado para atraer a sus víctimas.

“En particular, el método aprovecha el comportamiento humano: al presentar una ‘solución’ plausible a un problema percibido, los atacantes cambian la carga de la ejecución al usuario, evitando efectivamente muchas defensas automatizadas”, Group-IBS dicho En un informe independiente publicado hoy.

Una de esas campañas documentada por la compañía de ciberseguridad de Singapur implica utilizar ClickFix para lanzar un descargador llamado Smokesaber, que luego sirve como un conducto para Lumma Stealer. Otras campañas han aprovechado la malvertición, el envenenamiento por SEO, los problemas de GitHub y los foros de spam o sitios de redes sociales con enlaces a las páginas de ClickFix.

“La técnica ClickFix marca una evolución en las estrategias de ingeniería social adversa, aprovechando la confianza del usuario y la funcionalidad del navegador para la implementación de malware”, dijo el grupo-IB. “La rápida adopción de este método por parte de los ciberdelincuentes y los grupos APT subraya su efectividad y baja barrera técnica”.

Algunas de las otras campañas de ClickFix que se han documentado se enumeran a continuación –

Los diversos mecanismos de infección de Lumma Stealer se ejemplifican aún más por el descubrimiento de otra campaña que utiliza repositorios de GitHub falsos con inteligencia artificial (IA): contenido para entregar el robador a través de un cargador conocido como SmartLoader.

Ciberseguridad

“Estos repositorios maliciosos se disfrazan de herramientas no maliciosas, incluidos trucos de juegos, software agrietado y utilidades de criptomonedas”, TREND MICRO dicho En un análisis publicado a principios de esta semana. “La campaña atrae a las víctimas con promesas de funcionalidad no autorizada gratuita o ilícita, lo que les pide que descarguen archivos ZIP (por ejemplo, versión.zip, software.zip)”.

La operación sirve para resaltar cómo los actores de amenaza están abusando de la confianza asociada con plataformas populares como GitHub para la propagación de malware.

Los hallazgos se producen cuando Trustwave detalló una campaña de phishing de correo electrónico que hace uso de señuelos relacionados con la factura para distribuir una versión actualizada de otro malware de robador llamado Strelastealer, que se evalúa por un solo actor de amenaza denominado Hive0145.

“Las muestras de Strelastealers incluyen ofuscación de múltiples capas personalizadas y aplanamiento de flujo de código para complicar su análisis”, la compañía dicho. “Se ha informado que el actor de amenaza desarrolló potencialmente un crypter especializado llamado ‘cargador estelar’, específicamente, para ser utilizado con el strelastealer”.

¿Encontró este artículo interesante? Séguenos Gorjeo  y LinkedIn Para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Heidenheim y el portero Vitus Eicher van por rutas separadas
Next: Los jóvenes en Italia no son la generación más feliz

Related Stories

Hyundai envía sus robots Boston Dynamics a jugar y vigilar
  • Tecnología

Hyundai envía sus robots Boston Dynamics a jugar y vigilar en el Mundial 2026

teknomers 7 de Temmuz de 2026
PlayStation: ¿pueden realmente desaparecer tus juegos digitales después de 3
  • Tecnología

PlayStation: ¿pueden realmente desaparecer tus juegos digitales después de 3 años?

teknomers 7 de Temmuz de 2026
Taxis parisinos: la campaña publicitaria que le cuesta 50,000 euros
  • Tecnología

Taxis parisinos: la campaña publicitaria que le cuesta 50,000 euros a Uber

teknomers 7 de Temmuz de 2026

You May Have Missed

  • General

«El mayor contrato» de material militar de Canadá: el país encarga 12 submarinos alemanes para reemplazar su flota envejecida

teknomers 7 de Temmuz de 2026
  • Deporte

DIRECTO. Tour de France: sigue la 4ª etapa, con un aire de clásico bajo un calor sofocante.

teknomers 7 de Temmuz de 2026
  • General

Mujer sospechosa de la bomba en Mónaco encontrada muerta a disparos cerca de Kyiv, según reportes

teknomers 7 de Temmuz de 2026
  • Cultura

Hellfest 2027: 55,000 pases para cuatro días a la venta este martes a las 13 horas

teknomers 7 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.