La investigación de HP Wolf Security descubre sitios web de reservas de viajes falsificados con ventanas emergentes de cookies maliciosas dirigidas a turistas antes de las vacaciones de verano.
HP Inc. publicó su último informe Threat Insights, que muestra que los atacantes siguen aprovechándose de la fatiga de clics de los usuarios, especialmente durante momentos de navegación rápida y urgente, como al reservar ofertas de viajes.
Con el análisis de ciberataques reales, el informe ayuda a las organizaciones a mantenerse al día con las últimas técnicas que utilizan los ciberdelincuentes para evadir la detección y vulnerar los ordenadores en el cambiante panorama de la ciberdelincuencia.
El informe detalla una investigación sobre dominios sospechosos, relacionada con una campaña anterior basada en CAPTCHA, que descubrió sitios web falsos de reservas de viajes. Los sitios falsificados presentan una imagen de marca que imita a booking.com, pero con el contenido difuminado, y un banner de cookies engañoso diseñado para engañar a los usuarios para que hagan clic en "Aceptar", lo que desencadena la descarga de un archivo JavaScript malicioso.
Al abrir el archivo, se instala XWorm, un troyano de acceso remoto (RAT) que otorga a los atacantes control total del dispositivo, incluyendo acceso a archivos, cámaras web, micrófonos y la capacidad de implementar más malware o desactivar herramientas de seguridad.
La campaña se detectó por primera vez en el primer trimestre de 2025, coincidiendo con la temporada alta de reservas de vacaciones de verano, una época en la que los usuarios son especialmente vulnerables a los señuelos relacionados con viajes. Sin embargo, sigue activa, y se siguen registrando y utilizando nuevos dominios para ofrecer el mismo señuelo relacionado con las reservas.
Patrick Schläpfer, investigador principal de amenazas del Laboratorio de Seguridad de HP, comentó: «Desde la introducción de normativas de privacidad como el RGPD, las solicitudes de cookies se han normalizado tanto que la mayoría de los usuarios han adquirido el hábito de "hacer clic primero, pensar después". Al imitar la apariencia de un sitio web de reservas en un momento en el que los turistas se apresuran a planificar sus viajes, los atacantes no necesitan técnicas avanzadas; solo una solicitud oportuna y el instinto del usuario para hacer clic».
Basándose en datos de millones de endpoints con HP Wolf Security, los investigadores de amenazas de HP también descubrieron:
• Archivos impostores ocultos a simple vista: Los atacantes utilizaban archivos de la Biblioteca de Windows para introducir malware en carpetas locales de aspecto familiar, como "Documentos" o "Descargas". A las víctimas se les mostraba una ventana emergente del Explorador de Windows que mostraba una carpeta WebDAV remota con un acceso directo similar a un PDF que ejecutaba malware al hacer clic.
• Trampa de PowerPoint que simula la apertura de una carpeta: Un archivo de PowerPoint malicioso, abierto en modo de pantalla completa, simula la apertura de una carpeta estándar. Al hacer clic para escapar, se activa la descarga de un archivo comprimido que contiene un VBScript y un ejecutable, extrayendo una carga útil alojada en GitHub para infectar el dispositivo.
• Instaladores MSI en auge: Los instaladores MSI se encuentran entre los principales tipos de archivo utilizados para distribuir malware, impulsados principalmente por campañas de ChromeLoader. A menudo distribuidos a través de sitios web de software falsificados y publicidad maliciosa, estos instaladores utilizan certificados de firma de código válidos y emitidos recientemente para parecer confiables y eludir las advertencias de seguridad de Windows.
Al aislar las amenazas que han eludido las herramientas de detección en los PC, pero que aún permiten que el malware se propague de forma segura dentro de contenedores seguros, HP Wolf Security obtiene información específica sobre las técnicas más recientes utilizadas por los ciberdelincuentes. Hasta la fecha, los clientes de HP Wolf Security han hecho clic en más de 50.000 millones de archivos adjuntos de correo electrónico, páginas web y descargado archivos sin que se hayan reportado infracciones.
El Dr. Ian Pratt, Director Global de Seguridad para Sistemas Personales de HP Inc., comentó: «Los usuarios se están volviendo cada vez más insensibles a las ventanas emergentes y las solicitudes de permiso, lo que facilita que los atacantes se cuelen. A menudo, no son técnicas sofisticadas, sino momentos de rutina los que pillan a los usuarios. Cuanto más expuestas estén esas interacciones, mayor será el riesgo. Aislar los momentos de alto riesgo, como hacer clic en contenido no confiable, ayuda a las empresas a reducir su superficie de ataque sin necesidad de predecir cada ataque».
