Investigadores identificado una nueva campaña de malware que utiliza anuncios patrocinados, enlaces en redes sociales y foros de videojuegos para redirigir a las víctimas hacia falsos sitios web de Booking.com, con el objetivo de infectar sus dispositivos con el troyano de acceso remoto AsyncRAT.
Así funciona el engaño
La campaña comenzó a mediados de mayo y emplea una táctica ya conocida: los usuarios son dirigidos a una supuesta verificación CAPTCHA. Al marcarla, sin saberlo, permiten que el sitio copie comandos maliciosos en su portapapeles.
Luego, el sitio induce al visitante a ejecutar ese comando en la ventana de “Ejecutar” de Windows, un comportamiento que nunca forma parte de un proceso legítimo de Booking.com ni de ningún sistema de reservas.
Entre los comandos copiados al portapapeles se encuentra código disfrazado de PowerShell, diseñado para:
- Descargar y ejecutar un archivo llamado ckjg.exe.
- Que a su vez descarga otro ejecutable (Stub.exe).
- Este archivo es identificado como Backdoor.AsyncRAT, una herramienta maliciosa que permite el control remoto del dispositivo infectado.
¿Qué es AsyncRAT y por qué es tan peligroso?
AsyncRAT es una familia de malware que permite a atacantes:
- Supervisar y controlar dispositivos en tiempo real.
- Robar credenciales, archivos y datos financieros.
- Activar keyloggers o cámaras sin consentimiento.
- Facilitar el robo de identidad y el fraude financiero.
Una vez instalado, el usuario pierde el control del equipo, y la información sensible queda completamente expuesta.
Indicadores de compromiso (IOCs)
Los dominios maliciosos cambian cada 2-3 días, pero algunos de los detectados incluyen:
- booking.chargesguestescenter[.]com
- booking.property-paids[.]com
- booking.rewiewqproperty[.]com
- bkngnet[.]com (utilizado en la descarga final del malware)
- guestalerthelp[.]com
- patheer-moreinfo[.]com
Cómo protegerse
Recomendaciones clave para evitar caer en la trampa:
- No sigas instrucciones que provengan de páginas sospechosas o no oficiales.
- Usa soluciones antimalware activas que bloqueen dominios maliciosos y scripts de ejecución.
- Instala extensiones de navegador como Browser Guard, que advierten sobre accesos al portapapeles.
- Evita copiar y pegar comandos desde sitios web, especialmente si incluyen PowerShell u otras herramientas de línea de comandos.
- Desactiva JavaScript al navegar en sitios desconocidos (aunque esto puede romper algunas páginas legítimas).
Conclusión
Este ataque pone de manifiesto cómo los ciberdelincuentes explotan la confianza en marcas reconocidas como Booking.com para propagar malware sofisticado. La técnica de acceso al portapapeles y ejecución por parte del usuario convierte a este engaño en una trampa silenciosa pero efectiva.
En entornos corporativos o personales, la educación del usuario y el uso de herramientas proactivas de seguridad marcan la diferencia entre mantenerse protegido o sufrir una infección crítica.
