Jenže v případě podvodného webu může kliknutí na tlačítko „Přijmout“ spustit stažení škodlivého JavaScriptu. Výzkum HP odhalil falešné weby pro rezervaci dovolené s nebezpečnými cookies bannery, které cílí na uživatele před letní sezónou. Klinutí na podvodné cookie bannery na nich může vést k převzetí kontroly nad zařízením uživatele.

Společnost HP Inc. vydala svou nejnovější zprávu Threat Insights Report, která ukazuje, že útočníci stále více zneužívají „klikací únavu“ uživatelů – zejména ve spěchu a pod časovým tlakem, například při hledání výhodných nabídek na dovolenou. Zpráva popisuje vyšetřování, při kterém byly odhaleny falešné weby pro rezervaci ubytování. Tyto podvržené stránky napodobují značku booking.com, avšak s rozmazaným obsahem a podvodným cookie bannerem, který má uživatele přimět ke kliknutí na „Přijmout“ – což spustí stažení škodlivého JavaScriptu.
Po otevření tohoto souboru se na zařízení nainstaluje XWorm, přístupový trojan (RAT), který útočníkům umožňuje převzít kontrolu nad zařízením, včetně přístupu k souborům, webkameře a mikrofonu. Navíc jim dává možnost nasazovat další malware nebo vypínat bezpečnostní nástroje.
Kampaň byla poprvé odhalena v 1. čtvrtletí letošního roku. Aktivní však zůstává i nadále a stále jsou registrovány a využívány další domény pro šíření podobných falešných webů.

Patrick Schläpfer, hlavní výzkumník hrozeb v HP Security Lab

Patrick Schläpfer, hlavní výzkumník hrozeb v HP Security Lab, uvedené zjištění okomentoval: „Od zavedení předpisů na ochranu soukromí, jako je GDPR, jsou cookie okna natolik běžná, že je většina uživatelů odklikne téměř bez přemýšlení. Napodobením vzhledu webu pro rezervaci cest v momentu, kdy uživatelé spěchají s plánováním dovolené, útočníci nepotřebují žádné sofistikované triky – stačí dobře načasovaná výzva a automatická reakce uživatele.“
Dr. Ian Pratt, šéf bezpečnosti osobních systémů HP Inc., dodává: „Uživatelé si postupně zvykají ignorovat pop-up okna a žádosti o oprávnění, což útočníkům usnadňuje průnik. Často nejde o sofistikované útoky, ale o běžné situace, které uživatele zaskočí. Čím častěji se setkávají s těmito rizikovými interakcemi, tím pravděpodobněji se stanou obětí útoku.“

Dr. Ian Pratt, šéf bezpečnosti osobních systémů HP Inc

Na základě dat z milionů koncových zařízení se zabezpečením HP Wolf Security výzkumníci HP také zjistili:

• Skryté podvodné soubory: Útočníci využívali soubory Windows Library k ukrytí malwaru v běžně vypadajících složkách, například „Dokumenty“ nebo „Stažené“. V Průzkumníku Windows se obětem zobrazilo pop-up okno se vzdálenou složkou WebDAV a zástupcem ve formátu PDF, jehož otevření spustilo malware.
• Past v PowerPointu: Škodlivý soubor PowerPoint otevřený v režimu celé obrazovky napodoboval běžné otevření složky. Kliknutí uživatele na „zavření“ spustilo stažení archivu obsahujícího VBScript a spustitelný soubor, který stáhl malware hostovaný na GitHubu.
• Nárůst využívání MSI instalátorů: Instalátory MSI jsou nyní mezi nejčastějšími typy souborů pro šíření malwaru, hlavně díky kampaním ChromeLoader. Často jsou distribuovány přes falešné stránky se softwarem a škodlivé reklamy a využívají platné digitální certifikáty k ověřování pravosti kódu, aby vypadaly důvěryhodně a obešly bezpečnostní varování Windows.