{"id":1620120,"date":"2025-03-13T16:30:18","date_gmt":"2025-03-13T16:30:18","guid":{"rendered":"https:\/\/teknomers.com\/es\/microsoft-advierte-sobre-la-campana-de-phishing-de-clickfix-dirigida-al-sector-de-hospitalidad-a-traves-de-la-reserva-falsa-correos-electronicos-com\/"},"modified":"2025-03-13T16:30:23","modified_gmt":"2025-03-13T16:30:23","slug":"microsoft-advierte-sobre-la-campana-de-phishing-de-clickfix-dirigida-al-sector-de-hospitalidad-a-traves-de-la-reserva-falsa-correos-electronicos-com","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/microsoft-advierte-sobre-la-campana-de-phishing-de-clickfix-dirigida-al-sector-de-hospitalidad-a-traves-de-la-reserva-falsa-correos-electronicos-com\/","title":{"rendered":"Microsoft advierte sobre la campa\u00f1a de phishing de clickfix dirigida al sector de hospitalidad a trav\u00e9s de la reserva falsa[.]Correos electr\u00f3nicos com"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/Microsoft-advierte-sobre-la-campana-de-phishing-de-clickfix-dirigida.png\" style=\"display: block;  text-align: center; clear: left; float: left;\"><\/a><\/div>\n<p>Microsoft ha arrojado luz sobre una campa\u00f1a de phishing en curso que se dirigi\u00f3 al sector de la hospitalidad al hacerse pasar por la agencia de viajes en l\u00ednea Booking.com utilizando una t\u00e9cnica de ingenier\u00eda social cada vez m\u00e1s popular llamada ClickFix para ofrecer malware de robo de credenciales.<\/p>\n<p>La actividad, dijo el gigante tecnol\u00f3gico, comenz\u00f3 en diciembre de 2024 y opera con el objetivo final de realizar fraude financiero y robo. Est\u00e1 rastreando la campa\u00f1a bajo el apodo <strong>Tormenta-1865<\/strong>.<\/p>\n<p>&#8220;Este ataque de phishing se dirige espec\u00edficamente a las personas en organizaciones de hospitalidad en Am\u00e9rica del Norte, Ocean\u00eda, sur y sudeste de Asia, y el norte, sur, oriental y oeste de Europa, que tienen m\u00e1s probabilidades de trabajar con Booking.com, enviando correos electr\u00f3nicos falsos que pretenden provenir de la agencia&#8221;, Microsoft &#8220;, Microsoft <a rel=\"noopener nofollow\" href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2025\/03\/13\/phishing-campaign-impersonates-booking-com-delivers-a-suite-of-credential-stealing-malware\/\" target=\"_blank\">dicho<\/a> En un informe compartido con The Hacker News.<\/p>\n<p>La t\u00e9cnica ClickFix se ha extendido en los \u00faltimos meses, ya que enga\u00f1a a los usuarios para que ejecute malware bajo la apariencia de arreglar un error supuesto (es decir, inexistente) copiando, pegando y lanzando instrucciones enga\u00f1osas que activan el proceso de infecci\u00f3n. Se detect\u00f3 por primera vez en la naturaleza en octubre de 2023.<\/p>\n<p>La secuencia de ataque comienza con Storm-1865 enviando un correo electr\u00f3nico malicioso a un individuo objetivo sobre una revisi\u00f3n negativa dejada por un supuesto invitado en Booking.com, y pidi\u00e9ndoles sus &#8220;comentarios&#8221;. El mensaje tambi\u00e9n incorpora un enlace, o un archivo adjunto PDF que contiene uno que aparentemente dirige a los destinatarios al sitio de reserva.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cis-securesuite\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/1740827649_433_Mozilla-actualiza-los-terminos-de-Firefox-nuevamente-despues-de-una.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Sin embargo, en realidad, hacer clic en \u00e9l lleva a la v\u00edctima a una p\u00e1gina de verificaci\u00f3n Captcha falsa que se superpone en un &#8220;fondo sutilmente visible dise\u00f1ado para imitar una p\u00e1gina leg\u00edtima de Booking.com&#8221;. Al hacerlo, la idea es prestar una falsa sensaci\u00f3n de seguridad y aumentar la probabilidad de un compromiso exitoso.<\/p>\n<p>&#8220;El Captcha falso es donde la p\u00e1gina web emplea la t\u00e9cnica de ingenier\u00eda social ClickFix para descargar la carga \u00fatil maliciosa&#8221;, dijo Microsoft. &#8220;Esta t\u00e9cnica instruye al usuario que use un atajo de teclado para abrir una ventana de ejecuci\u00f3n de Windows, luego pegue y inicie un comando que la p\u00e1gina web agrega al portapapeles&#8221;.<\/p>\n<p>El comando, en pocas palabras, utiliza el binario leg\u00edtimo MSHTA.EXE para soltar la carga \u00fatil de la pr\u00f3xima etapa, que comprende varias familias de malware de productos b\u00e1sicos como Xworm, Lumma Stealer, Venomrat, Asyncrat, Danabot y NetSupport Rat.<\/p>\n<p>Redmond dijo que previamente observ\u00f3 a los compradores Storm-1865 dirigidos a los compradores que utilizan plataformas de comercio electr\u00f3nico con mensajes de phishing que conducen a p\u00e1ginas web de pago fraudulentas. La incorporaci\u00f3n de la t\u00e9cnica ClickFix, por lo tanto, ilustra una evoluci\u00f3n t\u00e1ctica dise\u00f1ada para pasar m\u00e1s all\u00e1 de las medidas de seguridad convencionales contra el phishing y el malware.<\/p>\n<p>&#8220;El actor de amenaza que Microsoft rastrea como Storm-1865 encapsula un cl\u00faster de actividad que realiza campa\u00f1as de phishing, lo que lleva al robo de datos de pago y los cargos fraudulentos&#8221;, agreg\u00f3.<\/p>\n<p>&#8220;Estas campa\u00f1as han estado en curso con un mayor volumen desde al menos a principios de 2023 e involucran mensajes enviados a trav\u00e9s de plataformas de proveedores, como agencias de viajes en l\u00ednea y plataformas de comercio electr\u00f3nico, y servicios de correo electr\u00f3nico, como Gmail o iCloud Mail&#8221;.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/1741883416_273_Microsoft-advierte-sobre-la-campana-de-phishing-de-clickfix-dirigida.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/1741883416_273_Microsoft-advierte-sobre-la-campana-de-phishing-de-clickfix-dirigida.png\" alt=\"\" border=\"0\" data-original-height=\"899\" data-original-width=\"1680\"\/><\/a><\/div>\n<p>Storm-1865 representa solo una de las muchas campa\u00f1as que han adoptado ClickFix como vector para la distribuci\u00f3n de malware. Tal es la efectividad de esta t\u00e9cnica que incluso los grupos de estado naci\u00f3n ruso e iran\u00ed como APT28 y Muddywater lo han adoptado para atraer a sus v\u00edctimas.<\/p>\n<p>&#8220;En particular, el m\u00e9todo aprovecha el comportamiento humano: al presentar una &#8216;soluci\u00f3n&#8217; plausible a un problema percibido, los atacantes cambian la carga de la ejecuci\u00f3n al usuario, evitando efectivamente muchas defensas automatizadas&#8221;, Group-IBS <a rel=\"noopener nofollow\" href=\"https:\/\/www.group-ib.com\/blog\/clickfix-the-social-engineering-technique-hackers-use-to-manipulate-victims\/\" target=\"_blank\">dicho<\/a> En un informe independiente publicado hoy.<\/p>\n<p>Una de esas campa\u00f1as documentada por la compa\u00f1\u00eda de ciberseguridad de Singapur implica utilizar ClickFix para lanzar un descargador llamado Smokesaber, que luego sirve como un conducto para Lumma Stealer. Otras campa\u00f1as han aprovechado la malvertici\u00f3n, el envenenamiento por SEO, los problemas de GitHub y los foros de spam o sitios de redes sociales con enlaces a las p\u00e1ginas de ClickFix.<\/p>\n<p>&#8220;La t\u00e9cnica ClickFix marca una evoluci\u00f3n en las estrategias de ingenier\u00eda social adversa, aprovechando la confianza del usuario y la funcionalidad del navegador para la implementaci\u00f3n de malware&#8221;, dijo el grupo-IB. &#8220;La r\u00e1pida adopci\u00f3n de este m\u00e9todo por parte de los ciberdelincuentes y los grupos APT subraya su efectividad y baja barrera t\u00e9cnica&#8221;.<\/p>\n<p>Algunas de las otras campa\u00f1as de ClickFix que se han documentado se enumeran a continuaci\u00f3n &#8211;<\/p>\n<p>Los diversos mecanismos de infecci\u00f3n de Lumma Stealer se ejemplifican a\u00fan m\u00e1s por el descubrimiento de otra campa\u00f1a que utiliza repositorios de GitHub falsos con inteligencia artificial (IA): contenido para entregar el robador a trav\u00e9s de un cargador conocido como SmartLoader.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cloud-ai-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/Mozilla-actualiza-los-terminos-de-Firefox-nuevamente-despues-de-una.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Estos repositorios maliciosos se disfrazan de herramientas no maliciosas, incluidos trucos de juegos, software agrietado y utilidades de criptomonedas&#8221;, TREND MICRO <a rel=\"noopener nofollow\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/25\/c\/ai-assisted-fake-github-repositories.html\" target=\"_blank\">dicho<\/a> En un an\u00e1lisis publicado a principios de esta semana. &#8220;La campa\u00f1a atrae a las v\u00edctimas con promesas de funcionalidad no autorizada gratuita o il\u00edcita, lo que les pide que descarguen archivos ZIP (por ejemplo, versi\u00f3n.zip, software.zip)&#8221;.<\/p>\n<p>La operaci\u00f3n sirve para resaltar c\u00f3mo los actores de amenaza est\u00e1n abusando de la confianza asociada con plataformas populares como GitHub para la propagaci\u00f3n de malware.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/1741883418_101_Microsoft-advierte-sobre-la-campana-de-phishing-de-clickfix-dirigida.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/1741883418_101_Microsoft-advierte-sobre-la-campana-de-phishing-de-clickfix-dirigida.png\" alt=\"\" border=\"0\" data-original-height=\"1469\" data-original-width=\"3363\"\/><\/a><\/div>\n<p>Los hallazgos se producen cuando Trustwave detall\u00f3 una campa\u00f1a de phishing de correo electr\u00f3nico que hace uso de se\u00f1uelos relacionados con la factura para distribuir una versi\u00f3n actualizada de otro malware de robador llamado Strelastealer, que se eval\u00faa por un solo actor de amenaza denominado <a rel=\"noopener nofollow\" href=\"https:\/\/securityintelligence.com\/x-force\/strela-stealer-todays-invoice-tomorrows-phish\/\" target=\"_blank\">Hive0145<\/a>.<\/p>\n<p>&#8220;Las muestras de Strelastealers incluyen ofuscaci\u00f3n de m\u00faltiples capas personalizadas y aplanamiento de flujo de c\u00f3digo para complicar su an\u00e1lisis&#8221;, la compa\u00f1\u00eda <a rel=\"noopener nofollow\" href=\"https:\/\/www.trustwave.com\/en-us\/resources\/blogs\/spiderlabs-blog\/a-deep-dive-into-strela-stealer-and-how-it-targets-european-countries\/\" target=\"_blank\">dicho<\/a>. &#8220;Se ha informado que el actor de amenaza desarroll\u00f3 potencialmente un crypter especializado llamado &#8216;cargador estelar&#8217;, espec\u00edficamente, para ser utilizado con el strelastealer&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/03\/microsoft-warns-of-clickfix-phishing.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Microsoft ha arrojado luz sobre una campa\u00f1a de phishing en curso que se dirigi\u00f3 al sector de la<\/p>\n","protected":false},"author":1,"featured_media":1620121,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,6088,4661,3372,258607,4664,8317,27936,285968,20568,273784,273783,7983,4654,273782,4659,4653,4655,8178,3603,1337,246983,4665,246984,131,116,455,239484],"class_list":["post-1620120","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-advierte","tag-ataques-ciberneticos","tag-campana","tag-clickfix","tag-como-hackear","tag-dirigida","tag-electronicos","tag-falsa-correos","tag-hospitalidad","tag-las-noticias-del-hacker","tag-malware-de-ransomware","tag-microsoft","tag-noticias-ciberneticas","tag-noticias-de-hacker","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-phishing","tag-reserva","tag-sector","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-sobre","tag-traves","tag-violacion","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1620120","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1620120"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1620120\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1620121"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1620120"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1620120"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1620120"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}