Reservas de viajes como gancho para el malware

Las campañas de ciberamenazas suelen aprovechar los intereses de temporada de los usuarios para engañarles. En línea con el reciente estudio que vimos sobre las vacaciones, el último Informe sobre amenazas de HP Wolf Security detalla el modo en que algunas campañas suplantan la identidad del popular site de booking.com para infiltrarse en los ordenadores de las víctimas.

Según el modus operandi identificado por la compañía, al acceder a esas páginas falsas aparece una ventana emergente en la que supuestamente se pueden aceptar o rechazar las cookies. Al hacer clic en Aceptar, se descarga un archivo JavaScript malicioso. Si se abre, se instala el troyano de acceso remoto XWorm, gracias al que los atacantes pueden controlar el dispositivo.

Además de este ejemplo concreto, HP Wolf Security explica que se utilizaron archivos de la biblioteca de Windows para introducir malware en carpetas comunes como Documentos o Descargas, con accesos directos con apariencia de PDFs. También utilizaban archivos maliciosos de PowerPoint que se abrían a pantalla completa; al intentar salir, se desencadenaba la infección. Además, se ha detectado un aumento de instaladores MSI en campañas de ChromeLoader.

Patrick Schläpfer, investigador principal en el Laboratorio de Seguridad de HP, señala que, “desde la introducción de regulaciones como el GDPR, los banners de cookies se han vuelto tan comunes que la mayoría de los usuarios ha adoptado un hábito de 'hacer clic primero, pensar después'. Al imitar la apariencia de un sitio de reservas en un momento en que la gente está apurada, los atacantes no necesitan técnicas avanzadas, solo un clic oportuno y la reacción automática del usuario".