Um estudo da HP Wolf Security1 revelou sites falsos de reservas de viagens com pop-ups maliciosos que visam turistas antes das férias de verão.
Destaques
- O último Relatório HP Threat Insights destaca sites de viagens falsos com banners de consentimento de cookies maliciosos usados para assumir o controlo dos dispositivos dos utilizadores que reservam férias.
- O relatório mostra que os autores das ameaças usam ficheiros da Biblioteca do Windows para disfarçar malware como PDFs dentro de pastas locais com aparência familiar, como «Documentos».
- Os ficheiros Microsoft Installer estão agora entre os principais tipos utilizados para distribuir malware, impulsionados principalmente pelas campanhas ChromeLoader.
A HP divulgou o seu mais recente Relatório de Análise de Ameaças, revelando que os cibercriminosos continuam a explorar a chamada “fadiga do clique” dos utilizadores — especialmente em momentos de navegação rápida e sob pressão de tempo, como na reserva de viagens.
Com a análise de ciberataques reais, o relatório ajuda as organizações a manterem-se a par das técnicas mais recentes que os cibercriminosos estão a utilizar para evitar a deteção e violar PCs num panorama de cibercrime em rápida mudança.
O relatório detalha uma investigação sobre domínios suspeitos – relacionados a uma campanha anterior com o tema CAPTCHA – que revelou sites falsos de reservas de viagens. Os sites falsificados apresentam uma marca que imita a booking.com, mas com o conteúdo desfocado e um banner de cookies enganoso, projetado para induzir os utilizadores a clicar em «Aceitar» – acionando o download de um ficheiro JavaScript malicioso.
A abertura do ficheiro instala o XWorm, um trojan de acesso remoto (RAT) que dá aos atacantes controlo total do dispositivo, incluindo acesso a ficheiros, webcams, microfones e a capacidade de implementar mais malware ou desativar ferramentas de segurança.
A campanha foi detetada pela primeira vez no primeiro trimestre de 2025, coincidindo com o pico do período de reservas para as férias de verão – Esta é uma altura em que os utilizadores estão particularmente vulneráveis a esquemas relacionados com viagens. Ainda assim, a campanha continua ativa, com novos domínios a serem registados e utilizados para disseminar o mesmo tipo de isco associado a reservas.
Patrick Schläpfer, investigador principal de ameaças do HP Security Lab, comenta: «Desde a introdução de regulamentos de privacidade, como o RGPD, os avisos de cookies tornaram-se tão normalizados que a maioria dos utilizadores adquiriu o hábito de “clicar primeiro, pensar depois”. Ao imitar a aparência de um site de reservas numa altura em que os turistas se apressam a fazer planos de viagem, os atacantes não precisam de técnicas avançadas – basta um aviso na hora certa e o instinto do utilizador de clicar.»
Com base em dados de milhões de terminais que executam o HP Wolf Security1, os investigadores de ameaças da HP também descobriram:
· Ficheiros impostores escondidos à vista de todos: Os atacantes recorreram a ficheiros da biblioteca do Windows para introduzir malware em pastas locais com nomes familiares, como «Documentos» ou «Transferências». As vítimas viam uma janela pop-up do Explorador de Ficheiros do Windows, que mostrava uma pasta remota WebDAV contendo um atalho com aparência de ficheiro PDF. Ao clicarem nesse atalho, o malware era executado
· Armadilha do PowerPoint imita a abertura de uma pasta: Um ficheiro PowerPoint malicioso, ao ser aberto em modo de ecrã inteiro, simula a abertura de uma pasta comum. Quando os utilizadores tentam sair, acabam por acionar o download de um ficheiro que contém um VBScript e um executável. Este, por sua vez, descarrega uma carga maliciosa alojada no GitHub, infetando o dispositivo.
· Ficheiros Microsoft Installerem ascensão: os ficheiros Microsoft Installer estão agora entre os principais tipos de ficheiros usados para distribuir malware, impulsionados em grande parte pelas campanhas ChromeLoader. Frequentemente distribuídos por meio de sites de software falsificados e malvertising, esses ficheiros usam certificados de assinatura de código válidos e emitidos recentemente para parecerem confiáveis e contornar os avisos de segurança do Windows.
Ao isolar ameaças que escaparam das ferramentas de deteção em PCs, mas ainda permitindo que o malware seja executado com segurança dentro de containers seguros, a HP Wolf Security1 tem uma visão privilegiada sobre as técnicas mais recentes utilizadas pelos cibercriminosos. Até à data, os clientes da HP Wolf Security1 clicaram em mais de 50 mil milhões de anexos de e-mail, páginas web e ficheiros descarregados sem que tenham sido relatadas violações.
O Dr. Ian Pratt, Diretor Global de Segurança para Sistemas Pessoais da HP Inc., comenta: «Os utilizadores estão a tornar-se cada vez mais insensíveis a pop-ups e pedidos de permissão, tornando mais fácil para os atacantes passarem despercebidos. Muitas vezes, não são técnicas sofisticadas, mas sim momentos de rotina que apanham os utilizadores desprevenidos. Quanto mais expostas forem essas interações, maior será o risco. Isolar momentos de alto risco, como clicar em conteúdo não confiável, ajuda as empresas a reduzir sua superfície de ataque sem precisar prever todos os ataques.”
Visite o Blog de Pesquisa de Ameaças da HP para ver o relatório.
