Relatório da HP evidencia uso de pop-ups maliciosos para espionar viajantes

HP lança seu Threat Insights Report, revelando que cibercriminosos continuam explorando o cansaço de cliques dos usuários — especialmente durante atividades apressadas, como reservar viagens.

Baseado em ataques reais, o relatório ajuda organizações a acompanhar as técnicas mais recentes que os criminosos digitais usam para burlar sistemas e invadir computadores.

A investigação detalha domínios suspeitos, ligados a uma campanha anterior com CAPTCHAs, que imitam o site booking.com, mas com o conteúdo borrado e um falso banner de cookies que engana o usuário a clicar em “Aceitar”, acionando o download de um arquivo JavaScript malicioso.

Ao ser aberto, o arquivo instala o XWorm, um trojan de acesso remoto (RAT) que permite controle total do dispositivo, incluindo arquivos, câmeras, microfones e instalação de mais malwares ou desativação de proteções.

Detectada no primeiro trimestre de 2025, a campanha continua ativa, com novos domínios sendo registrados e utilizados para enganar usuários com temas relacionados a reservas. “Desde a implementação de regulações como a GDPR, os avisos de cookies se tornaram tão comuns que muitos usuários passaram a clicar automaticamente, sem pensar”, observa Patrick Schläpfer, pesquisador principal da HP Security Lab. “Ao simular o visual de sites de reservas e abordar o público em momentos estratégicos, os atacantes não precisam recorrer a técnicas sofisticadas — basta um clique impulsivo.”

Com base em Dados de milhões de endpoints executando HP Wolf Security1, a equipe também identificou:

Arquivos disfarçados
 Malware oculto em bibliotecas do Windows usando pastas como “Documentos” e “Downloads” com atalhos disfarçados de PDFs que instalam ameaças quando clicados.

Armadilha em PowerPoint
Apresentação maliciosa em tela cheia simula abertura de pasta. Ao tentar fechar, o usuário aciona o download de um arquivo com VBScript e executável que baixa um payload do GitHub.

Crescimento de instaladores MSI
 Entre os principais vetores de malware, sobretudo em campanhas do ChromeLoader. Distribuídos via sites falsos e malvertising, usam certificados de assinatura válidos para burlar alertas do Windows.

Ao isolar ameaças que passam por ferramentas de detecção, mas ainda assim detonam em ambientes seguros, a HP Wolf Security1 fornece visibilidade exclusiva das técnicas atuais dos cibercriminosos. Até o momento, mais de 50 bilhões de arquivos, links e anexos foram abertos por usuários protegidos, sem violações relatadas.

“A exposição constante a pop-ups e solicitações de permissão tornou os usuários menos atentos, facilitando a ação de cibercriminosos”, explica Dr. Ian Pratt, chefe global de Segurança para Sistemas Pessoais da HP Inc. “Não são apenas ataques sofisticados que comprometem a segurança — muitas vezes, é a rotina que leva ao erro. Ao isolar essas interações mais vulneráveis, as empresas conseguem reduzir sua superfície de ataque sem precisar antecipar cada nova ameaça.”

Sobre os Dados
Os Dados foram coletados de clientes da HP Wolf Security1 com consentimento entre janeiro e março de 2025, além de investigação independente da equipe HP Threat Research.

HP Wolf Security é segurança de endpoint de classe mundial. O portfólio da HP combina recursos de proteção de hardware com serviços especializados para proteger computadores, impressoras e pessoas contra ameaças digitais. A proteção começa no nível de hardware e se estende por software e serviços.

1O HP Wolf Security for Business requer o Windows 10 ou 11 Pro e superior, inclui vários recursos de segurança da HP e está disponível nos produtos HP Pro, Elite, RPOS e Workstation.

Serviço
www.hp.com
hp.com/wolf