Фішингова кампанія Booking.com використовує прихований символ «ん» для обману користувачів

ПОЛІТИКА

10:07

Фішингова кампанія Booking.com використовує прихований символ «ん» для обману користувачів

Зловмисники застосовують символ Unicode «ん», аби фішингові посилання Booking.com виглядали легітимними.

Це дозволяє їм поширювати шкідливе програмне забезпечення.

Фішингова кампанія Booking.com використовує прихований символ «ん» для обману користувачів_1

Атака використовує японський символ хірагани «ん» (Unicode U+3093), який у деяких системах може відображатися як коса риска, через що фішингове посилання здається справжнім.

Кампанію виявив фахівець з інформаційної безпеки JAMESWT. На перший погляд у деяких шрифтах цей символ дуже схожий на послідовність латинських символів «/n» або «/~». Таке візуальне схоження дозволяє шахраям створювати URL-адреси, які виглядають як справжні, але перенаправляють користувачів на шкідливі сайти.

Нижче наведено приклад фішингового листа:

Фішингова кампанія Booking.com використовує прихований символ «ん» для обману користувачів_3

Адреса в листі виглядає як «https://admin.booking.com/hotel/hoteladmin/...», але гіперпосилання веде на «https://account.booking.comんdetailんrestric-access.www-account-booking.com/en/». Насправді зареєстрований домен — «www-account-booking[.]com».

Жертви, які переходять за цим посиланням, зрештою перенаправляються на «www-account-booking[.]com/c.php?a=0».

Після переходу завантажується шкідливий MSI-файл за посиланням CDN: https://updatessoftware.b-cdn[.]net/john/pr/04.08/IYTDTGTF.msi.

Приклади шкідливого сайту доступні на сервісі MalwareBazaar (abuse.ch), а аналіз Any.Run демонструє ланцюг зараження. MSI-файл використовується для поширення додаткових шкідливих програм, зокрема інфостілерів або троянів віддаленого доступу.

BleepingComputer також повідомляв про фішингову кампанію проти Intuit, де зловмисники використовували схожий домен, але підміняли літеру «i» на «L».

Фішингова кампанія Booking.com використовує прихований символ «ん» для обману користувачів_5

Це не перший випадок атак на клієнтів Booking.com. У березні Microsoft попереджала про фішингові кампанії із застосуванням соціальної інженерії ClickFix, націлені на співробітників готельної сфери.

Користувачам радять завжди перевіряти фактичний домен — це частина адреси праворуч перед першим символом «/». Крім того, рекомендується застосовувати програмні рішення для захисту кінцевих пристроїв.

Автор : Відділ моніторингу

Кібербезпека Кіберзлочинність США Хакери