HP Wolf Security: attenzione ai pop-up di cookie dannosi
La campagna è stata rilevata per la prima volta nel 1° trimestre del 2025, in coincidenza con il periodo di picco delle prenotazioni per le vacanze estive.
La ricerca HP Wolf Security scopre siti Web di prenotazione di viaggi contraffatti con pop-up di cookie dannosi che prendono di mira i vacanzieri prima della pausa estiva.
HP ha pubblicato il suo ultimo Threat InsightsReport, che mostra che gli aggressori continuano a sfruttare la “click fatigue” degli utenti, in particolare durante i momenti di navigazione frenetici e sensibili al fattore tempo, come la prenotazione di offerte di viaggio.
Il rapporto descrive in dettaglio un’indagine su domini sospetti – relativi a una precedente campagna a tema CAPTCHA – che ha scoperto falsi siti Web di prenotazione di viaggi. I siti contraffatti presentano un marchio che imita booking.com, ma con il contenuto sfocato, e un banner sui cookie ingannevole progettato per indurre gli utenti a fare clic su “Accetta”, attivando il download di un file JavaScript dannoso.
L’apertura del file comporta l’installazione di XWorm, un trojan di accesso remoto (RAT) che offre agli aggressori il pieno controllo del dispositivo, incluso l’accesso a file, webcam, microfoni e la possibilità di distribuire ulteriore malware o disabilitare gli strumenti di sicurezza.
Attenzione ai pop-up di cookie dannosi
La campagna è stata rilevata per la prima volta nel 1° trimestre del 2025, in coincidenza con il periodo di picco delle prenotazioni per le vacanze estive, un periodo in cui gli utenti sono particolarmente vulnerabili alle esche a tema viaggi. Eppure, rimane attivo, con nuovi domini che continuano a essere registrati e utilizzati per fornire la stessa esca relativa alle prenotazioni.
Patrick Schläpfer, Principal Threat Researcher presso l’HP Security Lab
Dall’introduzione delle normative sulla privacy come il GDPR, i prompt dei cookie sono diventati così normalizzati che la maggior parte degli utenti è caduta nell’abitudine di ‘prima cliccare, pensare dopo’. Imitando l’aspetto di un sito di prenotazione in un momento in cui i vacanzieri si affrettano a pianificare i viaggi, gli aggressori non hanno bisogno di tecniche avanzate: solo un prompt tempestivo e l’istinto dell’utente di fare clic.
Sulla base dei dati provenienti da milioni di endpoint che eseguono HP Wolf Security, i ricercatori delle minacce HP hanno anche scoperto: • File impostori nascosti in bella vista: gli aggressori hanno utilizzato i file della libreria di Windows per intrufolarsi nel malware all’interno di cartelle locali dall’aspetto familiare, come “Documenti” o “Download”. Alle vittime è stato mostrato un pop-up di Esplora risorse, che mostrava una cartella WebDAV remota con un collegamento simile a un PDF che avviava malware quando veniva cliccato. • PowerPoint Trap imita l’apertura della cartella: un file PowerPoint dannoso, aperto in modalità a schermo intero, che imita l’avvio di una cartella standard. Quando gli utenti fanno clic per fuggire, attivano un download di archivio contenente un VBScript e un eseguibile, estraendo un payload ospitato su GitHub per infettare il dispositivo. • Installer MSI in aumento: i programmi di installazione MSI sono ora tra i principali tipi di file utilizzati per distribuire malware, in gran parte guidati dalle campagne ChromeLoader. Spesso distribuiti tramite siti di software contraffatti e malvertising, questi programmi di installazione utilizzano certificati di firma del codice validi emessi di recente per apparire affidabili e ignorare gli avvisi di sicurezza di Windows.
Isolando le minacce che hanno eluso gli strumenti di rilevamento sui PC, ma consentendo comunque al malware di esplodere in modo sicuro all’interno di contenitori sicuri, HP Wolf Security dispone di una visione specifica delle tecniche più recenti utilizzate dai criminali informatici.
Dr. Ian Pratt, Global Head of Security for Personal Systems di HP Inc.
Gli utenti sono sempre più insensibili ai pop-up e alle richieste di autorizzazione, rendendo più facile per gli aggressori passare. Spesso non sono le tecniche sofisticate, ma i momenti di routine a sorprendere gli utenti. Più queste interazioni sono esposte, maggiore è il rischio. Isolare i momenti ad alto rischio, come fare clic su contenuti non attendibili, aiuta le aziende a ridurre la superficie di attacco senza dover prevedere ogni attacco.
