Vyšetrovanie podozrivých domén nadväzuje na predchádzajúcu kampaň s CAPTCHA tématikou, kedy boli odhalené falošné weby na rezerváciu ubytovania. Napodobňujú napríklad značku Booking.com, avšak s rozmazaným obsahom a podvodným cookies bannerom, ktorý má používateľa prinútiť kliknúť na tlačidlo „Prijať“ – čo spustí sťahovanie škodlivého JavaScriptu. Po otvorení tohto súboru sa na počítači nainštaluje XWorm, teda prístupový trojan (RAT), ktorý útočníkom umožňuje prevziať kontrolu nad zariadením, vrátane prístupu k súborom, webkamere a mikrofónu. Navyše, dáva im možnosť nasadzovať ďalší malvér, alebo vypínať bezpečnostné nástroje. Kampaň bola prvýkrát odhalená v 1. štvrťroku 2025, kedy vrcholilo obdobie rezervácií letných dovoleniek – teda v čase, keď sú používatelia obzvlášť náchylní na cestovateľské ponuky. Aktívna však zostáva aj naďalej a stále sú priebežne registrované a využívané ďalšie domény pre šírenie podobných falošných webov.
Na základe dát z miliónov koncových zariadení so zabezpečením HP Wolf Security výskumníci zistili:
- Skryté podvodné súbory: Útočníci využívali súbory Windows Library na ukrytie malvéru v bežne vyzerajúcich priečinkoch, napríklad „Dokumenty“ alebo „Stiahnuté“. V Prieskumníkovi Windows sa obetiam zobrazilo pop-up okno so vzdialenou zložkou WebDAV a zástupcom vo formáte PDF, ktorého otvorenie spustilo malvér.
- Pasca v PowerPointe: Škodlivý súbor PowerPoint otvorený v režime celej obrazovky napodobňoval bežné otvorenie zložky. Kliknutie používateľa na „zatvorenie“ spustilo stiahnutie archívu obsahujúceho VBScript a spustiteľný súbor, ktorý stiahol malvér hostovaný na GitHube.
- Nárast využívania MSI inštalátorov: Inštalátory MSI sú teraz medzi najčastejšími typmi súborov na šírenie malvéru, hlavne vďaka kampaniam ChromeLoader. Často sú distribuované cez falošné stránky so softvérom a škodlivé reklamy a využívajú platné digitálne certifikáty na overovanie pravosti kódu, aby vyzerali dôveryhodne a obišli bezpečnostné varovania Windows.
Požívatelia si postupne zvykajú ignorovať pop-up okná a žiadosti o oprávnenie, čo útočníkom uľahčuje prienik. Často nejde o sofistikované útoky, ale o bežné situácie, ktoré používateľa zaskočia. Čím častejšie sa stretávajú s týmito rizikovými interakciami, tým pravdepodobnejšie sa stanú obeťou útoku. Obmedzenie rizikových situácií, napríklad klikanie na nedôveryhodný obsah, pomáha znižovať celkovú zraniteľnosť bez predvídania možných útokov.
