Egyre trükkösebb módszerekkel támadnak a kiberbűnözők – most hamis utazási weboldalakon keresztül, álcázott cookie-bannerrel terjesztenek kártékony programokat.
A nyári szabadságokat tervezők újabb digitális veszéllyel néznek szembe: a HP Wolf Security legfrissebb fenyegetés-elemző jelentése szerint egyre több hamis utazási weboldal bukkan fel, amelyek megtévesztő sütikérő felugró ablakkal próbálnak hozzáférni az áldozatok eszközeihez. A támadók egy JavaScript fájl segítségével a XWorm nevű távoli hozzáférésű trójait (RAT) telepítik, amely teljes kontrollt ad számukra a fertőzött gép felett.
Így működik a támadás
A jelentés részletei szerint a hamis oldalak a jól ismert booking.com arculatát utánozzák, ám a tartalom szándékosan el van homályosítva. A cél: rávenni a felhasználót, hogy gyorsan kattintson az „Elfogadom” gombra – amely ezúttal nem csak a sütiket aktiválja, hanem egy rejtett, kártékony JavaScript letöltését is.
Ez a fájl telepíti a XWorm kártevőt, amely képes:
- hozzáférni fájlokhoz, webkamerához, mikrofonhoz,
- további malware-t letölteni,
- kikapcsolni a biztonsági eszközöket.
A kampányt először 2025 első negyedévében észlelték – éppen akkor, amikor a legtöbben repjegyek és szállások után kutatnak online. Azóta is aktív, újabb és újabb domaineket regisztrálnak a támadók.
Az automatizmusok kihasználása: „Kattints, aztán gondolkodj”
Patrick Schläpfer, a HP Security Lab vezető kutatója szerint az ilyen támadások sikeressége nem a technológiai bravúrokon, hanem a felhasználók reflexszerű kattintásain múlik.
„A GDPR óta annyira megszoktuk a cookie-értesítéseket, hogy sokan gondolkodás nélkül kattintanak. A támadók pontosan erre építenek: a sürgetés és a megszokás halálos kombináció.”
További trükkök, amikkel érdemes számolni:
📁 Ismerősnek tűnő mappákba rejtett fájlok: A támadók Windows Library fájlokat használnak, amelyeket Dokumentumok vagy Letöltések mappának álcáznak. A felhasználó egy ártatlannak tűnő PDF-re kattint – valójában malware-t indít.
📊 Prezentációs csapda: Egy teljes képernyős PowerPoint fájl mímeli egy mappa megnyitását. Amint a felhasználó kilépne, egy ZIP-archívum töltődik le, amely tartalmaz egy VBS-scriptet és egy futtatható fájlt, amely GitHubról húzza le a fertőző kódot.
⚙️ MSI telepítők újra reflektorfényben: A ChromeLoader kampányok terjedése miatt az MSI kiterjesztés újra a leggyakrabban használt formátumok között van. A támadók érvényes, frissen kibocsátott tanúsítványokat használnak a fájlok aláírásához, ezzel megkerülve a Windows biztonsági figyelmeztetéseit.
Mit tehetünk ellene?
A HP Wolf Security egyedülálló technológiája lehetővé teszi, hogy a gyanús fájlok egy elkülönített, biztonságos környezetben fusson le, így megfigyelhető a viselkedésük anélkül, hogy valódi kárt okoznának. Az eddigi statisztikák szerint több mint 50 milliárd fájlt nyitottak meg az ügyfelek veszteség nélkül.
Dr. Ian Pratt, a HP Inc. biztonsági igazgatója így fogalmaz:
„Nem mindig a kifinomult támadások a legveszélyesebbek, hanem a rutinszerű kattintások. Ha ezeket a magas kockázatú helyzeteket elkülönítjük és biztonságossá tesszük, jelentősen csökkenthetjük a támadási felületet.”
A 2025-ös HP Threat Insights Report jól mutatja, hogy a támadók az emberi figyelmetlenségre és sietségre építenek – főleg akkor, amikor a nyaralás izgalma elhomályosítja az óvatosságot. A trükkösen álcázott cookie-banner, a letöltésekbe rejtett férgek és a megszokásból végrehajtott kattintások ma már a kiberbiztonság frontvonalába tartoznak.
Tanulság: Legyünk résen – még akkor is, amikor csak szállást keresünk.
