Cookie Worm Malware

In einer der überwachten Kampagnen konnte HP bösartige Websites frühzeitig identifizieren, indem die Domain-Registrierungsmuster der Angreifer analysiert wurden.  Diese Aktivität zeichnet sich durch den Einsatz ausgefeilter Social-Engineering-Techniken zur Infizierung von PCs aus.

Die Angreifer verwenden mehrere Social-Engineering-Methoden. Dazu gehören gefälschte CAPTCHA-Herausforderungen.  Im ersten Quartal beobachtete HP jedoch auch eine neue Social-Engineering-Ködermethode: Die Angreifer verwendeten gefälschte Website-Cookie-Banner, um Malware zu verbreiten. HP identifizierte drei am 23. Februar 2025 registrierte Domains, die diese zweite Infektionsmethode verwendeten.

Ein Cookie-Banner, das für die Einhaltung der DSGVO erforderlich ist, ist eine Popup-Meldung, die auf einer Website angezeigt wird, um Benutzer über die Verwendung von Cookies und anderen Tracking-Technologien zu informieren.  Seit Inkrafttreten der DSGVO im Jahr 2018 sind diese Cookie-Banner auf Websites alltäglich geworden und mittlerweile ein vertrauter Bestandteil des Browsing-Erlebnisses.

Angreifer nutzen die Gewohnheit der Benutzer, Cookie-Banner „wegzuklicken“, um Malware zu verbreiten. Wenn der Nutzer auf die Schaltfläche „Akzeptieren” klickt, wird eine JavaScript-Datei heruntergeladen. Das Cookie-Banner imitiert ein Ladesymbol und fordert den Nutzer auf, auf die heruntergeladene Datei zu klicken, um die Cookies zu akzeptieren. Da die meisten Nutzer einfach nur die Website besuchen und das Banner so schnell wie möglich loswerden wollen, ist diese Social-Engineering-Technik sehr effektiv, insbesondere in Kombination mit anderen Taktiken, wie z. B. der Verwendung von Ködern, die das Gefühl der Dringlichkeit oder Neugierde des Ziels ausnutzen.

Der Report beschreibt eine Untersuchung verdächtiger Domains – im Zusammenhang mit einer früheren CAPTCHA-Kampagne –, bei der gefälschte Reisebuchungs-Websites aufgedeckt wurden. Diese gefälschten Websites imitieren in ihrem Branding booking.com. Der Inhalt wird jedoch unscharf dargestellt. Dazu zeigt die Site ein trügerisches Cookie-Banner, das die Benutzer dazu verleiten soll, auf „Akzeptieren“ zu klicken, was den Download einer bösartigen JavaScript-Datei auslöst.

Beim Öffnen der Datei wird XWorm installiert, ein Fernzugriffstrojaner (RAT), der den Angreifern Kontrolle über das Gerät gibt, einschließlich des Zugriffs auf Dateien, Webcams und Mikrofone sowie der Möglichkeit, weitere Malware zu installieren oder Sicherheitstools zu deaktivieren.

Die Kampagne wurde erstmals im 1. Quartal 2025 entdeckt und fiel damit in die Hauptbuchungszeit für Sommerurlaube – eine Zeit, in der die Nutzer besonders anfällig für reiserelevante Köder sind. Die Kampagne ist jedoch nach wie vor aktiv. Es werden immer wieder neue Domains registriert und für die gleichen buchungsbezogenen Köder verwendet.

Wenn die JavaScript-Datei geöffnet wird, lädt sie im Hintergrund zwei PowerShell-Skripte herunter und führt sie aus. Obwohl es sich um Skripte handelt, verwenden diese Dateien die Dateiendung .mp4 (T1036.008). Dies ist wahrscheinlich ein Versuch der Angreifer, die Aufmerksamkeit von Sicherheitsanalysten zu vermeiden, die Web-Proxy-Protokolle überprüfen.

Die PowerShell-Skripte installieren die Malware und sorgen dafür, dass sie auf dem infizierten Computer dauerhaft verbleibt. Die Malware-Nutzlast wird von derselben IP-Adresse wie das PowerShell-Skript heruntergeladen.  Die nächste Stufe, js.exe, ist ein .NET-Programm, das mit PowerShell geladen und ausgeführt wird (T1620).

Die Angreifer verwenden eine interessante Technik, um die nächste Malware-Stufe zu laden und auszuführen. Der Quellcode einer weiteren Binärdatei ist im .NET-Programm enthalten, das zur Laufzeit zu einer ausführbaren Datei kompiliert, dann geladen und ausgeführt wird (T1027.004).

Diese nächste Stufe ist ein Prozess-Injektor, der die endgültige Malware-Nutzlast in einen neu gestarteten Prozess schreibt.  Anschließend wird der Hauptthread an der entsprechenden Zieladresse fortgesetzt, um den bösartigen Code auszuführen (T1055.012).

Der Injektor startet einen legitimen Prozess, MSBuild.exe, der Teil des .NET Frameworks ist.  Anschließend schreibt er die Malware Abschnitt für Abschnitt in den neuen Prozess, um die Datei in einen geladenen Zustand zu versetzen und sie ausführbar zu machen.

Schließlich wird der Thread-Kontext festgelegt und der Thread fortgesetzt, sodass die endgültige Malware-Nutzlast ausgeführt wird. Die Malware-Nutzlast ist XWorm.  Es handelt sich um einen bekannten Remote Access Trojan (RAT) mit einer Vielzahl von Funktionen, die es einem Angreifer ermöglichen, infizierte Computer fernzusteuern und Daten zu stehlen.

Die Kampagne ist bemerkenswert, weil sie zeigt, wie Bedrohungsakteure ihre Social-Engineering-Toolkits innovativ einsetzen, um ihre Infektionsraten zu maximieren. In diesem Fall ist die Kampagne effektiv, weil sie die „Klickmüdigkeit” der Benutzer beim Akzeptieren oder Ablehnen von Cookie-Bannern ausnutzt.

Patrick Schläpfer, Principal Threat Researcher im HP Security Lab, kommentiert: „Seit der Einführung von Datenschutzbestimmungen wie der DSGVO sind Cookie-Aufforderungen so normal geworden, dass die meisten Nutzer sich angewöhnt haben, erst zu klicken und dann zu denken. Indem sie das Erscheinungsbild einer Buchungswebsite zu einem Zeitpunkt imitieren, an dem die Urlauber sich beeilen, ihre Reisepläne zu schmieden, benötigen Angreifer keine fortschrittlichen Techniken – nur eine gut getimte Aufforderung und den Instinkt des Benutzers, zu klicken.“

Auf der Grundlage von Daten von Millionen von Endgeräten, auf denen HP Wolf Security läuft, entdeckten HP-Bedrohungsforscher außerdem:

• Impostor-Dateien: Angreifer nutzten Windows Library-Dateien, um Malware in vertrauten lokalen Ordnern wie „Dokumente“ oder „Downloads“ zu verstecken. Den Opfern wurde im Windows Explorer ein Popup-Fenster angezeigt, das einen entfernten WebDAV-Ordner mit einer PDF-ähnlichen Verknüpfung lud, die beim Anklicken Malware startete.
• Die PowerPoint-Falle imitiert das Öffnen von Ordnern: Eine bösartige PowerPoint-Datei, die im Vollbildmodus geöffnet wird und den Start eines Standardordners imitiert. Der Klick der Benutzer, um die Ansicht zu verlassen, löst ein Archiv-Download aus, der ein VBScript und eine ausführbare Datei enthält. Diese ruft eine auf GitHub gehostete Nutzlast ab, um das Gerät zu infizieren.
• MSI-Installer auf dem Vormarsch: MSI-Installer gehören mittlerweile zu den meistgenutzten Dateitypen für die Verbreitung von Malware, was vor allem auf die ChromeLoader-Kampagnen zurückzuführen ist. Diese Installationsprogramme werden häufig über gefälschte Software-Websites und Malvertising verbreitet und verwenden gültige, kürzlich ausgestellte Code-Signatur-Zertifikate, um vertrauenswürdig zu erscheinen und Windows-Sicherheitswarnungen zu umgehen.

Durch die Isolierung von Bedrohungen, die sich den Erkennungstools auf PCs entzogen haben, aber dennoch eine sichere Entschärfung von Malware in sicheren Containern ermöglichen, verfügt HP Wolf Security über einen spezifischen Einblick in die neuesten Techniken von Cyberkriminellen. Bis heute haben Kunden von HP Wolf Security auf über 50 Milliarden E-Mail-Anhänge, Webseiten und heruntergeladene Dateien geklickt, ohne dass ein Datenleck gemeldet wurde.

Dr. Ian Pratt, Global Head of Security for Personal Systems bei HP Inc. kommentiert: „Benutzer sind zunehmend desensibilisiert gegenüber Pop-ups und Genehmigungsanfragen, was es Angreifern erleichtert, sich einzuschleichen. Oft sind es keine ausgefeilten Techniken, sondern Routinen, die Benutzer überraschen. Je anfälliger diese Interaktionen sind, desto größer ist das Risiko. Die Isolierung risikoreicher Momente, wie das Klicken auf nicht vertrauenswürdige Inhalte, hilft Unternehmen, ihre Angriffsfläche zu reduzieren, ohne jeden Angriff vorhersehen zu müssen.“

Der vollständige Report steht auf dem HP Threat Research Blog zur Verfügung.

In one monitored campaign, HP identified malicious websites early on by analyzing the attackers‘ domain registration patterns. This activity is characterized by the use of sophisticated social engineering techniques to infect PCs.

The attackers use several social engineering methods. These include fake CAPTCHA challenges.  However, HP observed a new social engineering bait method in the first quarter: attackers used fake website cookie banners to spread malware. HP identified three domains registered on February 23, 2025 that used this method of infection.

Cookie banners, which are required for GDPR compliance, are pop-up messages that appear on websites to inform users about the use of cookies and other tracking technologies. Since the GDPR took effect in 2018, these banners have become commonplace and are now a familiar part of the browsing experience.

Attackers exploit users‘ habit of clicking away from these banners to spread malware. When a user clicks the „Accept“ button, a JavaScript file downloads. The cookie banner mimics a loading icon and prompts the user to click on the downloaded file to accept the cookies. Since most users simply want to visit the website and dismiss the banner quickly, this social engineering technique is effective, especially when combined with tactics that exploit the target’s sense of urgency or curiosity.

The report details an investigation into suspicious domains connected to a previous CAPTCHA campaign, which revealed fake travel booking websites. These fake websites imitate Booking.com’s branding. However, the content is blurred. Additionally, the site displays a deceptive cookie banner designed to trick users into clicking „Accept,“ which triggers the download of a malicious JavaScript file.

Opening this file installs XWorm, a remote access Trojan (RAT), which gives attackers control over the device. This includes access to files, webcams, and microphones, as well as the ability to install additional malware or disable security tools.

This campaign was first detected in the first quarter of 2025, which coincided with the peak booking period for summer vacations — a time when users are particularly susceptible to travel-related bait. However, the campaign is still active. New domains are constantly being registered and used for the same booking-related bait.

When the JavaScript file is opened, it downloads and executes two PowerShell scripts in the background. Though they are scripts, these files use the .mp4 file extension (T1036.008). This is likely an attempt by the attackers to evade the scrutiny of security analysts who examine web proxy logs.

The PowerShell scripts install the malware and ensure that it remains on the infected computer permanently. The malware payload is downloaded from the same IP address as the PowerShell script.  The next stage, js.exe, is a .NET program loaded and executed using PowerShell (T1620).

The attackers use an interesting technique to load and execute the next stage of the malware. The source code of another binary file is included in the .NET program and compiled into an executable file at runtime. Then, it is loaded and executed (T1027.004).

The next stage is a process injector that writes the final malware payload into a newly launched process.  Then, the main thread continues to the appropriate target address to execute the malicious code (T1055.012).

The injector begins by starting a legitimate process: MSBuild.exe, which is part of the .NET Framework.  Then, it writes the malware section by section into the new process to load and execute the file.

Finally, the thread context is set, the thread resumes, and the final malware payload executes. The malware payload is XWorm.  It is a well-known remote access Trojan (RAT) with features that allow attackers to control infected computers remotely and steal data.

This campaign is notable because it demonstrates how threat actors are using innovative methods with their social engineering toolkits to maximize their infection rates. In this case, the campaign is effective because it exploits users‘ „click fatigue“ when accepting or rejecting cookie banners.

Patrick Schläpfer, Principal Threat Researcher at HP Security Labs, comments: “Since the introduction of data protection regulations such as the GDPR, cookie prompts have become so commonplace that most users have gotten into the habit of clicking first and thinking later. By mimicking the appearance of a booking website when vacationers are rushing to make travel plans, attackers don’t need advanced techniques — just a well-timed prompt and users‘ instinct to click.“

Based on data from millions of endpoints running HP Wolf Security, HP threat researchers discovered the following:

• Impostor files: Attackers used Windows library files to hide malware in familiar local folders, such as „Documents“ or „Downloads.“ • Victims were shown a pop-up window in Windows Explorer that loaded a remote WebDAV folder containing a PDF-like shortcut that launched malware when clicked.
• The PowerPoint trap imitates opening folders: A malicious PowerPoint file opens in full-screen mode and imitates the launch of a standard folder. Clicking to exit the view triggers an archive download containing a VBScript and an executable file. This downloads a payload hosted on GitHub that infects the device.
• MSI installers are on the rise. MSI installers are now among the most commonly used file types for spreading malware, mainly due to ChromeLoader campaigns. These installers are often distributed via fake software websites and malvertising, and they use valid, recently issued code signing certificates to appear trustworthy and bypass Windows security warnings.

HP Wolf Security has specific insight into the latest techniques used by cybercriminals by isolating threats that have evaded detection tools on PCs but still enabling safe mitigation of malware in secure containers. To date, HP Wolf Security customers have clicked on over 50 billion email attachments, web pages, and downloaded files without reporting a single data breach.

Dr. Ian Pratt, Global Head of Security for Personal Systems at HP Inc., comments: “Users are increasingly desensitized to pop-ups and permission requests, making it easier for attackers to sneak in. Often, it’s not sophisticated techniques, but routines that catch users off guard. The more vulnerable these interactions are, the greater the risk. Isolating high-risk moments, such as clicking on untrusted content, helps companies reduce their attack surface without having to anticipate every attack.“

The full report is available on the HP Threat Research Blog.