Le rapport présente une enquête sur des domaines suspects, liés à une précédente campagne sur le thème des CAPTCHA, qui a permis de découvrir de faux sites de réservation de voyages. Ces sites frauduleux imitent l’identité visuelle de booking.com, avec un contenu volontairement flouté et une fausse bannière liée aux cookies destinée à inciter les utilisateurs à cliquer sur “Accepter”. Cette action déclenche alors le téléchargement d’un fichier JavaScript malveillant.

L’ouverture du fichier entraîne l’installation de XWorm, qui facilite l’accès à distance (remote access trojan - RAT) et permet aux hackers de prendre le contrôle total de l’appareil, y compris l’accès aux fichiers, à la webcam ou au microphone. Les cybercriminels ont même la capacité de déployer d’autres malwares ou de désactiver les outils de sécurité.

La campagne a été détectée pour la première fois au premier trimestre 2025, coïncidant avec la période de pointe des réservations des vacances d’été, un moment où les internautes sont particulièrement vulnérables aux leurres liés aux voyages. Elle reste néanmoins active, avec de nouveaux domaines utilisés pour diffuser ces attaques qui sont régulièrement enregistrés.

Patrick Schläpfer, Principal Threat Researcher au sein du HP Security Lab, commente : « Depuis l’entrée en vigueur de réglementations comme le RGPD, les bannières pour l’autorisation des cookies sont devenues courantes. Les utilisateurs ont pris l’habitude de cliquer sur « Accepter » sans réfléchir. En imitant l’apparence d’un site de réservation de
voyage alors que les vacanciers sont pressés, les cybercriminels n’ont pas besoin de techniques avancées, un prompt bien placé suffit pour déclencher le réflexe du clic. »

Sur la base des données recueillies auprès de millions d’équipements intégrant la suite HP Wolf Security ¹, les chercheurs ont fait les constats suivants :

• Fichiers trompeurs dissimulés à la vue de tous : des attaquants ont utilisé des fichiers de la bibliothèque Windows pour dissimuler des malwares dans des dossiers comme « Documents » ou « Téléchargements ». Une fenêtre contextuelle de Windows Explorer s’affiche, indiquant un dossier WebDAV avec un raccourci imitant un fichier PDF. Le malware se lance dès que l’utilisateur clique.
• Un piège simulant l’ouverture de PowerPoint : un fichier PowerPoint malveillant s’ouvre en plein écran, simulant le lancement d’un dossier classique. Lorsqu’un utilisateur tente de fermer la présentation, il déclenche le téléchargement d’une archive contenant un VBScript et un executable, qui récupère le malware hébergé sur GitHub pour infecter l’appareil.
• Augmentation des attaques via MSI : les fichiers MSI figurent désormais parmi les types de fichiers les plus utilisés pour diffuser des malwares, notamment à travers les campagnes ChromeLoader. Ces programmes d’installation sont souvent diffusés via des faux sites de téléchargement ou de la publicité malveillante (malvertising), et utilisent des certificats de signature de code valides et récents pour apparaître fiables et contourner les alertes de sécurité Windows.

En isolant les menaces qui ont échappé aux outils de détection traditionnels, tout en permettant aux malwares de s’exécuter dans un environnement encadré et sécurisé, HP Wolf Security¹ a une vision précise des dernières techniques utilisées par les hackers. À ce jour, les clients de HP Wolf Security¹ ont cliqué sur plus de 50 milliards de pièces jointes, pages web et fichiers téléchargés sans qu’aucune infection n’ait été signalée.

Pour le Dr Ian Pratt, Global Head of Security for Personal Systems chez HP Inc. : « Les utilisateurs deviennent insensibles aux pop-ups et aux demandes d’autorisation, ce qui facilite la tâche des cybercriminels. Ce ne sont pas toujours des techniques sophistiquées, mais plutôt des expériences habituelles en ligne qui piègent les utilisateurs. Plus ces interactions sont accessibles et non protégées, plus le risque est élevé. Isoler du reste du PC les situations à risque, comme un clic sur du contenu non fiable, permet aux entreprises de réduire leur surface d’attaque sans devoir anticiper chaque attaque. »