[12/06/2025] HP ha publicado su último informe Threat Insights, en el que muestra que los atacantes siguen aprovechándose de la "fatiga de clics" de los usuarios, especialmente durante los momentos de navegación acelerados y urgentes, como las reservas de viajes.
"Con el análisis de los ciberataques del mundo real, el informe ayuda a las organizaciones a mantenerse al día con las últimas técnicas que los ciberdelincuentes están utilizando para evadir la detección y violar las PC en el panorama de la ciberdelincuencia en rápida evolución”, comentó Patrick Schläpfer, investigador principal de amenazas en el HP Security Lab, en el comunicado de prensa.
El informe detalla una investigación sobre dominios sospechosos, relacionados con una campaña anterior con temática de CAPTCHA, que descubrió sitios web falsos de reserva de viajes. "Los sitios falsificados cuentan con una marca que imita a booking.com, pero con el contenido borroso, y un banner de cookies engañoso diseñado para engañar a los usuarios para que hagan clic en Aceptar, lo que desencadena la descarga de un archivo JavaScript malicioso”, sostuvo el ejecutivo.
Al abrir el archivo, se instala XWorm, un troyano de acceso remoto (RAT) que brinda a los atacantes el control total del dispositivo, incluido el acceso a archivos, cámaras web, micrófonos y la capacidad de implementar más malware o deshabilitar herramientas de seguridad.
"La campaña se detectó por primera vez en el primer trimestre del 2025, coincidiendo con el período pico de reservas de vacaciones de medio año, un momento en el que los usuarios son particularmente vulnerables a los señuelos con temática de viajes. Sin embargo, sigue activo, y se siguen registrando nuevos dominios y utilizándolos para ofrecer el mismo señuelo relacionado con las reservas, agregó Schläpfer.
Basado en datos de millones de terminales que ejecutan HP Wolf Security, los investigadores de amenazas de HP también descubrieron:
- Archivos impostores escondidos a plena vista: Los atacantes utilizaron archivos de la biblioteca de Windows para introducir malware dentro de carpetas locales de aspecto familiar, como "Documentos" o "Descargas". A las víctimas se les mostró una ventana emergente del Explorador de Windows, que mostraba una carpeta WebDAV remota con un acceso directo similar a un PDF que iniciaba malware al hacer clic en él.
- Apertura de la carpeta PowerPoint Trap Mimics: Un archivo malicioso de PowerPoint, abierto en modo de pantalla completa, que imita el inicio de una carpeta estándar. Cuando los usuarios hacen clic para escapar, desencadenan una descarga de archivo que contiene un VBScript y un ejecutable, lo que extrae una carga útil alojada en GitHub para infectar el dispositivo.
- Instaladores de MSI en aumento: Los instaladores MSI se encuentran ahora entre los principales tipos de archivos utilizados para distribuir malware, en gran parte impulsados por las campañas de ChromeLoader. A menudo distribuidos a través de sitios de software falsos y publicidad maliciosa, estos instaladores utilizan certificados de firma de código válidos y emitidos recientemente para parecer confiables y eludir las advertencias de seguridad de Windows.
Franca Cavassa, CTOPerú