Conform investigației, infractorii cibernetici au creat o rețea de site-uri false de rezervări de călătorii, care mimează aspectul platformelor legitime, dar ascund o capcană periculoasă: bannere malițioase de tip cookie. Aceste bannere, care imită solicitările standard de acceptare a cookie-urilor, au fost concepute special pentru a induce în eroare utilizatorii. Un simplu click pe butonul „Accept” declanșează în fundal descărcarea unui fișier JavaScript, fără ca victima să bănuiască nimic.

Deschiderea fișierului declanșează instalarea XWorm – un troian sofisticat cu acces de la distanță (RAT), care le oferă atacatorilor control total asupra dispozitivului infectat. După instalare, XWorm permite acces extins la resursele sistemului: fișiere, camere web, microfon, precum și posibilitatea de a lansa atacuri suplimentare, a instala alte programe malware sau a dezactiva soluțiile de securitate. Practic, dispozitivul devine complet vulnerabil în fața atacatorilor.

Campania a fost identificată inițial în primul trimestru al anului 2025, într-o perioadă marcată de un volum crescut de rezervări pentru vacanțele de vară. Specialiștii HP atrag însă atenția că amenințarea este departe de a fi eliminată: noi domenii continuă să fie înregistrate și folosite pentru a răspândi aceeași metodă de atac. Infractorii profită de comportamentele grăbite și de neatenția utilizatorilor, care caută rapid cele mai bune oferte online.

Cercetarea a pornit de la analiza unor domenii suspecte, asociate anterior cu o campanie malware bazată pe pagini Captcha false. Investigația a dus la descoperirea noii metode de compromitere: folosirea site-urilor clonate din sfera turismului.

Datele care au stat la baza raportului provin atât din monitorizarea activă a soluției HP Wolf Security, cât și din cercetări independente ale echipei HP Threat Research. În perioada ianuarie – martie 2025, utilizatorii HP Wolf Security au deschis peste 50 de miliarde de pagini web, atașamente și fișiere descărcate fără a fi raportate incidente de securitate, semn al eficienței în detecția și izolarea amenințărilor.

HP recomandă o atenție sporită atunci când se accesează site-uri de rezervări, în special în perioadele aglomerate ale anului. Verificarea adresei web, evitarea linkurilor primite prin e-mail sau rețele sociale și utilizarea unor soluții de securitate cu detecție avansată pot reduce considerabil riscul de compromitere. De asemenea, este esențial să nu se deschidă fișiere necunoscute descărcate automat, chiar dacă par inofensive.