A Microsoft emitiu um alerta sobre uma nova e crescente campanha de phishing chamada ClickFix, que está mirando o setor de hospitalidade. Iniciada em dezembro de 2024, essa campanha finge ser uma comunicação da popular agência de viagens online Booking.com e tem como objetivo espalhar malware que rouba credenciais dos usuários. A campanha, identificada como Storm-1865, está focada em indivíduos e empresas que lidam com a plataforma Booking.com em diversas regiões, como América do Norte, Oceania, Sudeste Asiático e Europa.
Como a técnica ClickFix está se tornando uma ameaça crescente ao setor de hospitalidade
A técnica ClickFix é uma forma de engenharia social que está se tornando cada vez mais comum entre cibercriminosos. Ela engana os usuários a executar um comando malicioso, fazendo-os acreditar que estão corrigindo um erro inexistente. No caso dessa campanha, os e-mails falsos pedem um “feedback” sobre uma avaliação negativa de um hóspede. Eles contêm um link ou anexo em PDF que, ao ser clicado, leva a uma página falsa de verificação de CAPTCHA que imita o site legítimo do Booking.com.
Ao acessar essa página, os usuários são orientados a executar um comando no Windows que baixa uma carga útil maliciosa. Essa carga pode incluir malwares como XWorm, Lumma Stealer, VenomRAT, AsyncRAT, Danabot e NetSupport RAT. A técnica ClickFix tem se mostrado eficaz ao enganar os sistemas de segurança automatizados, uma vez que coloca a responsabilidade da execução do ataque nas mãos da vítima.
A Microsoft observou que o grupo Storm-1865 também utilizou esse método em outras campanhas de phishing, inclusive em plataformas de e-commerce. Essa técnica tem sido adotada por diversos grupos de criminosos cibernéticos, incluindo as ameaças persistentes avançadas (APT), como APT28 e MuddyWater, comprovando sua eficácia.
Notícias Relacionadas
Desenvolvedor do LockBit
Suposto desenvolvedor do LockBit é extraditado para os EUA por crimes cibernéticos
Rostislav Panev, suposto desenvolvedor do ransomware LockBit, foi extraditado para os EUA após sua prisão em Israel. Ele é acusado de projetar malware e facilitar ataques cibernéticos, enquanto as autoridades reforçam o combate a crimes digitais.
Cibersegurança Avançada
Novo ransomware SuperBlack explora vulnerabilidades da Fortinet para ataques sofisticados
O ransomware SuperBlack, operado pelo grupo Mora_001, está explorando vulnerabilidades da Fortinet para comprometer firewalls e realizar ataques sofisticados. A análise aponta ligação com o LockBit e destaca um processo estruturado de invasão e criptografia.
Outras campanhas também têm utilizado o ClickFix para disseminar malwares, como o Lumma Stealer. Algumas delas se aproveitam de repositórios maliciosos do GitHub, disfarçados como ferramentas legítimas, para atrair vítimas e espalhar o malware. Isso mostra como os cibercriminosos estão explorando plataformas populares para distribuir software malicioso de maneira eficiente.
Esse tipo de ataque tem se intensificado desde 2023, e é fundamental que empresas do setor de hospitalidade se conscientizem sobre os riscos. A Microsoft e outras empresas de segurança recomendam medidas de prevenção mais rigorosas, já que o volume dessas campanhas de phishing só tende a crescer.
Esses ataques ressaltam a evolução das técnicas de engenharia social, e a necessidade de uma maior vigilância para proteger dados sensíveis contra cibercriminosos.
