Microsoft ha recentemente messo in guardia contro una campagna di phishing che prende di mira il settore dell'ospitalità, impersonando l'agenzia di viaggi online Booking.com. Questa operazione utilizza una tecnica di ingegneria sociale sempre più diffusa chiamata ClickFix per distribuire malware destinato a rubare credenziali. Secondo il team di intelligence delle minacce di Microsoft, l'attività è iniziata nel dicembre 2024 con l'intento finale di commettere frodi e furti finanziari. La campagna è monitorata sotto il nome di Storm-1865.

Questo attacco phishing è rivolto specificamente a individui nelle organizzazioni di ospitalità in Nord America, Oceania, Asia del Sud e Sud-Est e in varie regioni dell'Europa. Il phishing si presenta sotto forma di email false che sembrano provenire da Booking.com. La tecnica ClickFix, emersa per la prima volta in ottobre 2023, è diventata comune negli ultimi mesi. Essa induce gli utenti a eseguire malware fingendo di risolvere un errore inesistente, tramite istruzioni ingannevoli che attivano il processo di infezione.

La sequenza di attacco inizia con Storm-1865 che invia un'email malevola a un individuo mirato riguardo a una recensione negativa lasciata da un presunto ospite su Booking.com, chiedendo un feedback. Il messaggio include un link o un allegato PDF che sembra condurre al sito di prenotazione, ma in realtà porta a una pagina di verifica CAPTCHA falsa. Questa pagina è progettata per sembrare una legittima pagina di Booking.com, aumentando così le possibilità di un compromesso riuscito.

Microsoft ha spiegato che il falso CAPTCHA utilizza la tecnica di ingegneria sociale ClickFix per scaricare il payload malevolo. L'utente è istruito a usare una scorciatoia da tastiera per aprire una finestra di esecuzione di Windows, incollare e lanciare un comando che la pagina web aggiunge agli appunti. Questo comando sfrutta il legittimo eseguibile mshta.exe per scaricare il payload successivo, che include malware come XWorm, Lumma stealer, VenomRAT e altri.

In precedenza, Microsoft aveva osservato Storm-1865 prendere di mira gli acquirenti di piattaforme di e-commerce con messaggi di phishing che portavano a pagine di pagamento fraudolente. L'incorporazione della tecnica ClickFix rappresenta un'evoluzione tattica progettata per eludere le misure di sicurezza convenzionali contro il phishing e il malware. Questo attore di minacce, monitorato da Microsoft come Storm-1865, è associato a attività di phishing che portano al furto di dati di pagamento e addebitamenti fraudolenti. Le campagne sono in corso con volume crescente almeno dall'inizio del 2023 e coinvolgono messaggi inviati tramite piattaforme di vendor e servizi email come Gmail o iCloud Mail.