Alerta da Microsoft informa que o grupo de crimes cibernéticos Storm-1865 está realizando ataques contra o setor de hospitalidade usando e-mails falsos do Booking.com e uma técnica de engenharia social chamada ClickFix. Essas campanhas foram observadas na América do Norte, Europa, Oceania e no Sul e Sudeste Asiático e têm como objetivo distribuir malware para roubo de informações e fraudes financeiras.
Leia também
Chainalysis explica como a Bybit foi roubada
Hackers encadearam falhas em ataque a soluções Ivanti
Os ataques começam com e-mails falsificados que parecem vir do Booking.com e abordam temas como avaliações negativas de hóspedes, verificação de contas e oportunidades de promoção online. Esses e-mails contêm links ou anexos em PDF que redirecionam as vítimas para sites falsos do Booking.com, onde a técnica ClickFix é utilizada para enganá-las.
No ClickFix, o site falso exibe um erro ou uma verificação de segurança, induzindo o usuário a realizar ações específicas. Nos ataques do Storm-1865, a vítima é orientada a pressionar certas combinações de teclas, como Windows + R, Ctrl + V e Enter. Esse processo copia e executa um comando malicioso que faz o computador da vítima baixar e executar malware, como XWorm, Lumma, VenomRAT, AsyncRAT, Danabot e NetSupport RA. Essas ferramentas permitem o roubo de credenciais e dados financeiros para uso fraudulento.
A Microsoft explicou que o Storm-1865 está ativo desde 2023, realizando campanhas de phishing contra hóspedes de hotéis e usuários de plataformas de comércio eletrônico. A adoção do ClickFix demonstra como o grupo está evoluindo suas táticas para contornar medidas de segurança tradicionais contra phishing e malware.
