Los estafadores están apuntando a los viajeros que planean sus vacaciones en una nueva campaña que falsifica la popular agencia de viajes en línea (OTA) Booking.com. El esquema, identificado por MalwareBytes Labs, utiliza formularios de captcha maliciosos para obtener acceso remoto a los dispositivos de las víctimas, lo que permite a los actores de amenaza cosechar información personal y financiera.
La campaña comienza con enlaces publicados en las redes sociales y los sitios de juegos, incluidos los anuncios patrocinados, que redirigen a los sitios web que se hacen pasar por Booking.com, una OTA a través de la cual los usuarios pueden buscar y reservar vuelos, hoteles, autos de alquiler y otras experiencias de viaje.
Cuando los usuarios hacen clic en el enlace, verán una ventana emergente de Captcha falsa con una casilla de verificación, que da permiso para copiar datos en el portapapeles. El siguiente mensaje de verificación le indicará que ejecute un comando Ejecutar en su dispositivo con una combinación de pulsaciones de teclas. (FYI: Esta nunca es una solicitud de captcha legítima).
En el fondo, el Captcha malicioso ha copiado un comando PowerShell a su portapapeles. Y si sigue las instrucciones, el comando descargará y ejecutará una serie de archivos que instalan una herramienta de acceso remoto de trasero (RAT), identificada como trasera.
Como señala Malwarebytes Labs, los estafadores de dominios y subdominios están utilizando para llevar a cabo este cambio de ataque con frecuencia, y algunos parecen más legítimos que otros: (Reserva.) Casadas de invitados (.) Com versus kvhandelregis (.) Com, por ejemplo. Para evitar ser víctimas de esta campaña y a aquellos que les gusten, no haga clic en los enlaces de anuncios o publicaciones en las redes sociales, y vaya directamente al sitio web que desea visitar.
¿Qué piensas hasta ahora?
Sepa que el uso de una búsqueda general de Google para la planificación de viajes puede hacer que sea más susceptible a la malvertición, ya que los cibercriminales pueden falsificar sitios web para que se parezcan a servicios populares, como Booking.com, y hacer que aparezcan cerca de la parte superior de los resultados patrocinados. Debe escribir URL directamente en la barra o reserva de direcciones con la aerolínea o el hotel en sí.
También debe tener cuidado de seguir las instrucciones, como ejecutar comandos, desde sitios web, formularios CaptCha o videos de redes sociales, lo que puede engañarlo fácilmente para que instale malware.
Finalmente, puede deshabilitar JavaScript en su navegador, que eliminará el acceso al portapapeles, aunque es probable que esto rompa otros sitios web que visita.
