San José, 13 de enero (elmundo.cr) – Investigadores de seguridad descubrieron recientemente una campaña de correo electrónico falsa que se hacía pasar por Booking.com. Los mensajes advierten de
San José, 13 de enero (elmundo.cr) – Investigadores de seguridad descubrieron recientemente una campaña de correo electrónico falsa que se hacía pasar por Booking.com. Los mensajes advierten de supuestos problemas con reservas o reembolsos pendientes y contienen enlaces maliciosos que conducen a una cadena de engaños destinados a que la víctima instale malware de tipo infostealer destinado a robar información sensible. La campaña fue analizada por el equipo. de Securonix.
La técnica utilizada, conocida como ClickFix, refleja la aparición de la ingeniería social como vector de ataque. En lugar de explotar directamente las vulnerabilidades técnicas, los atacantes manipulan al usuario para que ejecute comandos maliciosos en su sistema. Según el último informe de amenazas de ESET En el primer trimestre de 2025, esta técnica experimentó un aumento de más del 500% en las detecciones, posicionándose como el segundo vector de ataque más común después del phishing.
El correo electrónico fraudulento utiliza la estética y el lenguaje de Booking.com, lo que dificulta su distinción de un correo electrónico legítimo. Ante la urgencia de resolver un problema percibido con una reserva, el usuario hace clic en el enlace contenido en el mensaje, que le redirige a una web falsa que imita la plataforma original.
En la página apócrifa, el navegador muestra un mensaje falso que dice que está tardando demasiado en cargarse. Cuando hace clic en el botón Recargar, el navegador entra en modo de pantalla completa y muestra una pantalla azul de Windows (BSOD) falsa que simula un error crítico del sistema.
A diferencia de un BSOD real, esta pantalla contiene instrucciones para que el usuario ejecute comandos en PowerShell o en la ventana Ejecutar de Windows con el pretexto de corregir el supuesto error. De esta forma, la víctima acaba infectando su propio ordenador.
Seguir las instrucciones desencadena una serie de acciones maliciosas, incluida la descarga de un proyecto .NET compilado con MSBuild.exe, la instalación de un troyano de acceso remoto (DCRAT), la desactivación de defensas como Windows Defender y la obtención de persistencia y elevación de privilegios en el sistema.
Este malware permite el control remoto de la computadora, registrando pulsaciones de teclas, ejecutando comandos y descargando cargas útiles adicionales como mineros de criptomonedas, lo que facilita el robo de información y la distribución lateral.
«Los ciberdelincuentes ya no necesitan vulnerar el sistema directamente: basta con convencer al usuario de que lo haga por ellos. Por eso, campañas como ClickFix demuestran que la educación y la atención a los mensajes urgentes siguen siendo una de las mayores barreras para la protección», comenta Martina López, especialista en seguridad informática de ESET Latinoamérica.
