Booking.com está siendo suplantado en una campaña de ingeniería social que utiliza mensajes de error falsos y fallos simulados del sistema para engañar a los usuarios y que instalen malware. La actividad implica una técnica conocida como ClickFix, que se basa en la interacción del usuario en lugar de explotaciones de software para comprometer sistemas.
Según investigadores de ciberseguridad, la campaña comienza con correos electrónicos de phishing que parecen provenir de Booking.com. Los mensajes suelen indicar que se ha cancelado una reserva o que ha habido un problema de pago, a veces mostrando un cargo elevado para urgente. Se indica a los destinatarios que hagan clic en un enlace para revisar el supuesto problema.
El enlace conduce a una página web fraudulenta diseñada para parecerse a Booking.com. La página muestra lo que parece ser un problema de carga o verificación y pide al usuario que actúe para resolverlo. Tras interactuar con la página, el navegador muestra una falsa Pantalla Azul de la Muerte de Windows destinada a convencer al usuario de que se ha producido un grave error del sistema.
La pantalla muestra instrucciones paso a paso que guían al usuario para abrir el cuadro de diálogo Ejecutar Windows y pegar un comando para resolver el problema. Si se sigue, el comando lanza un script de PowerShell que descarga y ejecuta código malicioso adicional. Este proceso permite a los atacantes instalar malware mientras hacen creer al usuario que están restaurando su sistema.
Los investigadores dijeron que el malware desplegado en la campaña incluye un troyano de acceso remoto que permite a los atacantes mantener el control del sistema infectado. El proceso de infección también intenta debilitar la configuración de seguridad para reducir la posibilidad de detección o eliminación.
Se ha observado que la campaña tiene como objetivo a organizaciones que interactúan regularmente con Booking.com, especialmente en el sector de la hostelería. Los empleados responsables de reservas o pagos tienen más probabilidades de interactuar con los mensajes, aumentando la probabilidad de infección exitosa.
La técnica ClickFix evita la explotación directa al persuadir a los usuarios para que ejecuten comandos por sí mismos. Este enfoque puede eludir algunos controles de seguridad automatizados, ya que las acciones parecen ser iniciadas por el usuario y no por software malicioso.
Los investigadores aconsejaron a los usuarios tratar con cautela los correos electrónicos inesperados sobre reservas o pagos y evitar seguir instrucciones que requieran ejecutar comandos o corregir supuestos errores del sistema. Dijeron que las empresas legítimas no piden a los usuarios que resuelvan problemas ejecutando scripts o pegando comandos en las herramientas del sistema.
La campaña destaca cómo la ingeniería social sigue evolucionando al combinar la suplantación de marca confiable con engaños técnicos realistas para acceder a sistemas.