Nie każda zgoda się opłaca – złośliwe cookie na fałszywych stronach wakacyjnych

Coraz więcej osób planuje wakacje online, a cyberprzestępcy nie próżnują. Najnowszy raport HP Wolf Security ujawnia nową metodę ataku: fałszywe strony z ofertami podróży i złośliwe okienka zgody na pliki cookie. Wystarczy jedno nieuważne kliknięcie, by oddać kontrolę nad swoim urządzeniem w ręce oszustów.

HP publikuje najnowsze wyniki raportu Threat Insights i zwraca uwagę na fakt, że cyberprzestępcy wciąż wykorzystują nieuwagę użytkowników i ich zmęczenie koniecznością częstego „klikania” okienek wyskakujących na stronach internetowych – szczególnie w sytuacjach, gdy zależy im na czasie np. gdy szukają atrakcyjnych ofert wakacyjnych.

Raport Threat Insights opiera się na analizie rzeczywistych cyberataków i pomaga organizacjom zrozumieć najnowsze techniki stosowane przez cyberprzestępców. W tym wydaniu szczegółowo opisano proces sprawdzania podejrzanych domen – związanych z wcześniejszą kampanią CAPTCHA – w wyniku którego odkryto fałszywe strony internetowe do rezerwacji podróży. Podrobione witryny zawierają branding imitujący booking.com, ale z zamazaną treścią i zwodniczym banerem cookie, zaprojektowanym w celu nakłonienia użytkowników do kliknięcia „Akceptuj” – co powoduje pobranie złośliwego pliku JavaScript.

Otwarcie pliku instaluje natomiast XWorm, czyli trojana zdalnego dostępu (RAT), który daje atakującym pełną kontrolę nad urządzeniem ofiary, w tym dostęp do plików, kamer internetowych, mikrofonów, a także możliwość wdrożenia kolejnego złośliwego oprogramowania lub wyłączenia narzędzi bezpieczeństwa.

Po raz pierwszy kampania została wykryta w pierwszym kwartale 2025 r., co zbiegło się w czasie z najbardziej intensywnym okresem rezerwacji letnich wakacji. W takich momentach użytkownicy są zdecydowanie bardziej podatni na „przynęty” związane z podróżami. Co więcej, kampania wciąż pozostaje aktywna, a nowe domeny są nadal rejestrowane i wabią użytkowników fałszywymi okazjami.

Patrick Schläpfer, Global Head of Security for Personal Systems w HP Inc., komentuje:

„Od czasu wprowadzenia przepisów dotyczących prywatności, takich jak RODO, monity o pliki cookie stały się tak znormalizowane, że większość użytkowników wpadła w schemat: „najpierw kliknij, pomyśl później”. Naśladując wygląd i sposób działania witryny rezerwacyjnej w chwili, gdy spieszymy się z planowaniem podróży, atakujący nie potrzebują zaawansowanych technik – wystarczy dobrze dobrany monit i instynktowne kliknięcie użytkownika”.

Na podstawie danych z milionów punktów końcowych z zainstalowanym oprogramowaniem HP Wolf Security¹, analitycy HP odkryli również:

• Fałszywe pliki ukryte w „Dokumentach”: Atakujący wykorzystywali pliki biblioteki Windows do przemycania złośliwego oprogramowania wewnątrz znajomo wyglądających folderów lokalnych – takich jak „Dokumenty” lub „Pobrane”. Ofiarom pokazywało się okienko Eksploratora Windows, wyświetlające zdalny folder WebDAV ze skrótem przypominającym plik PDF, który po kliknięciu uruchamiał złośliwe oprogramowanie.
• Pułapka PowerPoint imitująca otwarcie folderu: Złośliwy plik PowerPoint otwierany w trybie pełnoekranowym naśladuje uruchomienie standardowego folderu. Gdy użytkownik kliknie, aby wyjść, uruchamia się pobieranie archiwum zawierającego skrypt VBScript i plik wykonywalny – ściągając tym samym ładunek hostowany przez GitHub w celu zainfekowania urządzenia.
• Instalatory MSI na fali popularności: Instalatory MSI są obecnie jednym z najpopularniejszych typów plików wykorzystywanych do dostarczania złośliwego oprogramowania, w dużej mierze napędzanym przez kampanie ChromeLoader. Instalatory te, często dystrybuowane za pośrednictwem fałszywych witryn z oprogramowaniem i złośliwych reklam, wykorzystują ważne, niedawno wydane certyfikaty podpisywania kodu, aby wyglądać na zaufane i ominąć zabezpieczenia systemu Windows.

HP Wolf Security[i] chroni użytkowników, uruchamiając potencjalnie niebezpieczne operacje w specjalnie izolowanym, bezpiecznym środowisku wirtualnym na urządzeniu końcowym. Dzięki temu użytkownicy mogą swobodnie pracować, podczas gdy system szczegółowo monitoruje i analizuje próby ataków. Technologia izolacji nie tylko neutralizuje zagrożenia, które mogłyby ominąć tradycyjne zabezpieczenia, ale także dostarcza cennych informacji o najnowszych metodach działania cyberprzestępców i technikach włamań. Do tej pory klienci HP Wolf Security¹ otworzyli ponad 50 miliardów załączników do wiadomości e-mail, stron internetowych i pobranych plików, nie zgłaszając żadnych naruszeń.

Dr Ian Pratt, Global Head of Security for Personal Systems w HP Inc. stwierdza:

„Użytkownicy stają się coraz bardziej znieczuleni na wyskakujące okienka i prośby o pozwolenie, co jest znacznym ułatwieniem dla atakujących. Często nie są to wyrafinowane techniki, ale momenty nieuwagi i  rutyny, które gubią użytkowników. Izolowanie momentów wysokiego ryzyka, takich jak klikanie podejrzanych treści, pomaga firmom zmniejszyć powierzchnię ataku bez konieczności przewidywania każdego cyberataku”.

Więcej informacji na ten temat znajduje się na stronie HP Threat Research.

Obserwuj nas na Google News

Zobacz również:

• Amplify Elevate 2025: Nowe narzędzia AI od HP
• Test Poly Sync 10 – świetny zestaw głośnomówiący do domowego biura
• Recenzja – Poly Voyager 4320 UC – na godzinne na spotkania online
• Recenzja Poly Voyager Focus 2 – akustyczna doskonałość podczas rozmów
• Poly Studio G62 i Poly Studio Base Kit G9 Plus: Inteligentne rozwiązania do każdej przestrzeni

Źródło: Informacja prasowa: HP

Informacje o wykorzystanych danych

Prezentowane powyżej dane zostały zebrane od klientów HP Wolf Security¹, którzy wyrazili na to zgodę, w okresie od stycznia do marca 2025 r. w wyniku niezależnego badania przeprowadzonego przez zespół HP Threat Research Team.

^[i] HP Wolf Security for Business wymaga systemu Windows 10 lub 11 Pro bądź nowszego, zawiera różne funkcje zabezpieczeń HP i jest dostępny w produktach HP Pro, Elite, RPOS i Workstation. Szczegółowe informacje o zabezpieczeniach można znaleźć w opisie produktu.