À l’approche de l’été, des campagnes malveillantes exploitant les habitudes des internautes sur les sites de réservation refont surface. Le dernier rapport HP Threat Insights, publié en juin 2025, alerte sur la résurgence de campagnes diffusant des malwares via de fausses bannières cookies.
Cette technique repose sur un mécanisme simple : tirer parti de la « fatigue du clic » des utilisateurs pour les piéger.
Des sites frauduleux ciblent les vacanciers
HP a identifié une série de faux sites de réservation, imitant visuellement booking.com, qui incitent l’utilisateur à cliquer sur “Accepter” via une bannière cookies falsifiée. Ce clic entraîne le téléchargement d’un fichier JavaScript infecté, déclenchant l’installation du malware XWorm. Celui-ci agit comme un cheval de Troie d’accès à distance (RAT), permettant à l’attaquant de prendre le contrôle complet de l’appareil, y compris l’accès aux fichiers, au micro ou à la webcam.
Apparue au premier trimestre 2025, en pleine période de réservations estivales, cette campagne reste active à l’heure actuelle. De nouveaux noms de domaine, enregistrés régulièrement, permettent aux cybercriminels de contourner les mécanismes de détection classiques.
« Depuis l’entrée en vigueur de réglementations comme le RGPD, les bannières pour l’autorisation des cookies sont devenues courantes. Les utilisateurs ont pris l’habitude de cliquer sur “Accepter” sans réfléchir. En imitant l’apparence d’un site de réservation de voyage alors que les vacanciers sont pressés, les cybercriminels n’ont pas besoin de techniques avancées, un prompt bien placé suffit pour déclencher le réflexe du clic », explique Patrick Schläpfer, Principal Threat Researcher au sein du HP Security Lab.
Techniques d’infection : des fichiers familiers et des interfaces trompeuses
Le rapport s’appuie sur les données issues de millions de terminaux intégrant la suite HP Wolf Security, analysées entre janvier et mars 2025. Les chercheurs ont mis en lumière plusieurs techniques récemment utilisées :
-
Des fichiers malveillants cachés dans des dossiers Windows standards comme « Documents » ou « Téléchargements ». Une fenêtre WebDAV dans Windows Explorer affiche un raccourci imitant un fichier PDF, qui déclenche l’infection dès le clic.
-
Une simulation d’ouverture de PowerPoint : un faux fichier PPT en plein écran masque un exécutable, qui télécharge le malware depuis GitHub via une archive compressée contenant un VBScript.
-
Une augmentation marquée de l’usage de fichiers MSI comme vecteurs d’infection. Ce type de fichier est exploité notamment dans les campagnes ChromeLoader, via de faux sites de téléchargement ou des publicités piégées (malvertising). Ces fichiers disposent souvent de certificats de signature de code récents et valides, contournant les alertes Windows.
Ces attaques s’appuient moins sur des techniques sophistiquées que sur des habitudes ancrées chez les utilisateurs. « Les utilisateurs deviennent insensibles aux pop-ups et aux demandes d’autorisation, ce qui facilite la tâche des cybercriminels. Ce ne sont pas toujours des techniques sophistiquées, mais plutôt des expériences habituelles en ligne qui piègent les utilisateurs. Plus ces interactions sont accessibles et non protégées, plus le risque est élevé. Isoler du reste du PC les situations à risque, comme un clic sur du contenu non fiable, permet aux entreprises de réduire leur surface d’attaque sans devoir anticiper chaque attaque », observe le Dr Ian Pratt, Global Head of Security for Personal Systems chez HP Inc.
Isolement des menaces et retour d’expérience des clients
HP rappelle que sa technologie d’isolation permet d’exécuter les contenus suspects dans des environnements virtualisés, limitant les risques sans alerter l’utilisateur. D’après le rapport, plus de 50 milliards de pièces jointes, de pages web et de fichiers ont été ouverts ou téléchargés par des clients de HP Wolf Security, sans qu’aucune infection ne soit signalée.
Les données utilisées pour établir le rapport proviennent d’utilisateurs ayant consenti à partager leurs informations dans le cadre de l’analyse menée par l’équipe HP Threat Research.
Méthodologie: Les données ont été collectées auprès des clients HP Wolf Security consentants entre janvier et mars 2025, ainsi que dans le cadre d’une enquête indépendante menée par l’équipe HP Threat Research.
À propos de ChannelBiz :
ChannelBiz.fr est le média des partenaires de distribution IT & Tech en France : Intégrateurs, revendeurs, et MSP/MSSP. Chaque semaine, nous proposons à nos 9000 abonnés 2 newsletters autour des actualités et des enjeux majeurs du Channel : infra & Cloud, Cybersécurité ; Workspace & AV ; Telecom; et Business Apps. Nous éditons également chaque trimestre « ChannelBiz : Le Mag » : un magazine de 60 pages, pour prendre du recul sur les tendances fortes du marché. Et pour ne rien rater de l’actualité du Channel au quotidien, rejoignez notre page Linkedin ChannelBiz.
