Una investigación de HP Wolf Security 1 descubre sitios web de reservas de viajes falsificados con ventanas emergentes de cookies maliciosas dirigidas a los turistas antes de las vacaciones de verano.
Noticias destacadas:
- El último informe de HP Threat Insights destaca sitios web de viajes falsos con banners maliciosos de consentimiento de cookies que se utilizan para tomar el control de los dispositivos de quienes reservan vacaciones.
- El informe muestra que actores de amenazas utilizan archivos de la biblioteca de Windows para disfrazar malware como archivos PDF dentro de carpetas locales de aspecto familiar como «Documentos».
- Los instaladores MSI se encuentran ahora entre los principales tipos de archivos utilizados para distribuir malware, impulsados en gran medida por las campañas de ChromeLoader .
PALO ALTO, California, 12 de junio de 2025 — HP Inc. (NYSE: HPQ) publicó hoy su último Informe de Perspectivas sobre Amenazas , que muestra que los atacantes siguen aprovechando la «fatiga de clics» de los usuarios, especialmente durante momentos de navegación rápida y urgente, como al reservar ofertas de viajes.
Con un análisis de ciberataques reales, el informe ayuda a las organizaciones a mantenerse al día con las últimas técnicas que utilizan los ciberdelincuentes para evadir la detección y vulnerar los ordenadores en el cambiante panorama de la ciberdelincuencia.
El informe detalla una investigación sobre dominios sospechosos, relacionada con una campaña anterior basada en CAPTCHA , que descubrió sitios web falsos de reservas de viajes. Los sitios falsificados presentan una imagen de marca que imita a booking.com, pero con el contenido difuminado, y un banner de cookies engañoso diseñado para engañar a los usuarios para que hagan clic en «Aceptar», lo que desencadena la descarga de un archivo JavaScript malicioso.
Al abrir el archivo, se instala XWorm, un troyano de acceso remoto (RAT) que otorga a los atacantes control total del dispositivo, incluyendo acceso a archivos, cámaras web, micrófonos y la capacidad de implementar malware adicional o desactivar herramientas de seguridad.
La campaña se detectó por primera vez en el primer trimestre de 2025, coincidiendo con la temporada alta de reservas de vacaciones de verano, una época en la que los usuarios son especialmente vulnerables a los señuelos relacionados con viajes. Sin embargo, sigue activa, y se siguen registrando y utilizando nuevos dominios para ofrecer el mismo señuelo relacionado con las reservas.
Patrick Schläpfer, investigador principal de amenazas del Laboratorio de Seguridad de HP, comenta:
«Desde la introducción de normativas de privacidad como el RGPD, las solicitudes de cookies se han normalizado tanto que la mayoría de los usuarios han adquirido el hábito de «hacer clic primero, pensar después». Al imitar la apariencia de una página web de reservas en un momento en el que los turistas se apresuran a planificar sus viajes, los atacantes no necesitan técnicas avanzadas: basta con una solicitud oportuna y el instinto del usuario para hacer clic».
Basándose en datos de millones de puntos finales que ejecutan HP Wolf Security 1 , los investigadores de amenazas de HP también descubrieron:
- Archivos impostores ocultos a simple vista: Los atacantes usaban archivos de la biblioteca de Windows para introducir malware en carpetas locales de aspecto familiar, como «Documentos» o «Descargas». A las víctimas se les mostraba una ventana emergente del Explorador de Windows que mostraba una carpeta WebDAV remota con un acceso directo similar a un PDF que ejecutaba malware al hacer clic.
- Trampa de PowerPoint que imita la apertura de una carpeta: Un archivo malicioso de PowerPoint, abierto en modo de pantalla completa, simula la apertura de una carpeta estándar. Al hacer clic para escapar, se activa la descarga de un archivo que contiene un VBScript y un ejecutable, extrayendo una carga útil alojada en GitHub para infectar el dispositivo.
- Instaladores MSI en auge: Los instaladores MSI se encuentran entre los principales tipos de archivo utilizados para distribuir malware, impulsados principalmente por campañas de ChromeLoader . Distribuidos a menudo a través de sitios web de software falsificados y publicidad maliciosa, estos instaladores utilizan certificados de firma de código válidos y emitidos recientemente para parecer confiables y eludir las advertencias de seguridad de Windows.
Al aislar las amenazas que han evadido las herramientas de detección en las PC, pero que aún permiten que el malware se propague de forma segura dentro de contenedores seguros, HP Wolf Security
1 ofrece información específica sobre las últimas técnicas utilizadas por los ciberdelincuentes. Hasta la fecha, los clientes de HP Wolf Security
1 han hecho clic en más de 50 000 millones de archivos adjuntos de correo electrónico, páginas web y descargado archivos sin que se hayan reportado infracciones. El Dr. Ian Pratt, director global de seguridad para sistemas personales de HP Inc., comenta: «Los usuarios se están volviendo cada vez más insensibles a las ventanas emergentes y las solicitudes de permiso, lo que facilita que los atacantes se cuelen. A menudo, no son técnicas sofisticadas, sino momentos de rutina los que atrapan a los usuarios. Cuanto más expuestas estén esas interacciones, mayor será el riesgo. Aislar los momentos de alto riesgo, como hacer clic en contenido no confiable, ayuda a las empresas a reducir su superficie de ataque sin necesidad de predecir cada ataque».Visite el
blog de investigación de amenazas de HP para ver el informe.
HP News. Traducido al español
Contacto