A Microsoft revelou uma campanha de phishing que tem como alvo empresas do setor hoteleiro, utilizando e-mails fraudulentos do Booking.com para roubar credenciais e instalar malware nos sistemas das vítimas. Segundo a empresa, os ataques começaram em dezembro de 2024 e fazem parte da atividade de um grupo identificado como Storm-1865, cujo objetivo final é realizar fraudes financeiras e roubo de informações. A técnica usada pelos hackers, conhecida como ClickFix, vem ganhando popularidade entre cibercriminosos.

Ela engana usuários ao induzi-los a copiar e colar comandos maliciosos diretamente no Executar do Windows, iniciando a infecção do sistema. A Microsoft destaca que essa abordagem permite contornar muitas das defesas automatizadas de segurança. No ataque, os criminosos enviam e-mails falsos alertando hotéis sobre avaliações negativas deixadas por hóspedes no Booking.com e solicitam um retorno imediato. O e-mail inclui um link ou um PDF com um link que supostamente levaria à página de avaliação. No entanto, a vítima é redirecionada para uma falsa verificação CAPTCHA, que oculta um comando malicioso.

Caso o usuário siga as instruções da página e copie o código sugerido, ele executa um script no mshta.exe, que baixa e instala diferentes tipos de malware, incluindo XWorm, Lumma Stealer, VenomRAT, AsyncRAT, Danabot e NetSupport RAT. Esses programas permitem o roubo de credenciais, monitoramento remoto e até a realização de transações fraudulentas. A técnica ClickFix tem sido amplamente adotada por criminosos e até mesmo por grupos estatais da Rússia e Irã, como APT28 e MuddyWater, que a utilizam para ataques cibernéticos mais sofisticados. Relatórios recentes apontam que essa tática já foi empregada em golpes contra lojas online, empresas de tecnologia e até redes sociais.