HP ha publicado su último informe sobre amenazas, que muestra cómo los atacantes continúan explotando el "agotamiento por clics" de los usuarios, especialmente durante momentos de navegación apresurada como la reserva de viajes.
El informe, basado en el análisis de ataques reales, ayuda a las organizaciones a mantenerse al día con las técnicas más recientes utilizadas por los ciberdelincuentes para evadir la detección y acceder a los PCs.
La investigación detalla dominios sospechosos, relacionados con una campaña previa basada en CAPTCHAs, que resultaron ser sitios falsos de reservas de viajes. Estas webs imitaban la marca de booking.com, con contenido borroso y un banner de cookies diseñado para engañar al usuario y hacer clic en "Aceptar", lo que desencadenaba la descarga de un archivo JavaScript malicioso.
Al abrir el archivo, se instala XWorm, un troyano de acceso remoto (RAT) que permite a los atacantes controlar completamente el dispositivo, incluyendo archivos, webcams, micrófonos, y la posibilidad de desplegar más malware o desactivar herramientas de seguridad.
La campaña fue detectada por primera vez en el primer trimestre de 2025, coincidiendo con el pico de reservas vacacionales de verano, y aún sigue activa con nuevos dominios que siguen utilizando el mismo señuelo de reservas.
Patrick Schläpfer, Investigador Principal en el Laboratorio de Seguridad de HP, ha comentado: “Desde la introducción de regulaciones como el GDPR, los banners de cookies se han vuelto tan comunes que la mayoría de los usuarios ha adoptado un hábito de 'hacer clic primero, pensar después'. Al imitar la apariencia de un sitio de reservas en un momento en que la gente está apurada, los atacantes no necesitan técnicas avanzadas, solo un clic oportuno y la reacción automática del usuario".
Basándose en los datos de millones de endpoints que ejecutan HP Wolf Security, los investigadores de amenazas de HP también descubrieron:
- Archivos impostores a simple vista: Se usaron archivos de la biblioteca de Windows para infiltrar malware en carpetas como "Documentos" o "Descargas". Se mostraba un pop-up de Windows Explorer con una carpeta WebDAV remota y un acceso directo con apariencia de PDF que lanzaba el malware al hacer clic.
- Trampa en PowerPoint: Un archivo malicioso de PowerPoint se abría en modo pantalla completa simulando la apertura de una carpeta. Al intentar salir, se activaba la descarga de un archivo comprimido con un VBScript y un ejecutable que descargaba un payload desde GitHub.
- Incremento de instaladores MSI: Impulsado por las campañas de ChromeLoader, este tipo de archivo se ha vuelto uno de los principales vectores de malware. Frecuentemente se distribuyen mediante sitios falsos de software y publicidad maliciosa, usando certificados de firma de código válidos para evadir alertas de seguridad de Windows.
Aislando las amenazas que han eludido las herramientas de detección de los PC, permitiendo observar el comportamiento del malware sin poner en riesgo los dispositivos, HP Wolf Security ofrece una visión única de las técnicas más recientes empleadas por ciberdelincuentes. Hasta la fecha, los clientes de HP Wolf Security han hecho clic en más de 50 mil millones de archivos, sitios y adjuntos sin registrar brechas.
Dr. Ian Pratt, Director Global de Seguridad para Sistemas Personales en HP, ha señalado: "Los usuarios se han vuelto insensibles a ventanas emergentes y solicitudes de permisos, lo que facilita el trabajo de los atacantes. Muchas veces, no son técnicas sofisticadas, sino rutinas cotidianas las que exponen a los usuarios. Aislar estos momentos de alto riesgo, como hacer clic en contenido no confiable, ayuda a las empresas a reducir su superficie de ataque sin tener que predecir cada amenaza”.
