«Мошенники разгадывают код: фишинговая атака на Booking.com с японским символом «ん»»

Мошенники прибегают к использованию символа Unicode «ん» для того, чтобы фишинговые ссылки на Booking.com выглядели достоверно. Это позволяет им распространять вредоносные программы.

В атаке применяется японский символ хираганы ん (Unicode U+3093), который в некоторых случаях отображается в виде косой черты. Это визуальное сходство затрудняет пользователям распознавание фишинговых ссылок.

Кампания была выявлена экспертами по кибербезопасности, работающими под псевдонимом JAMESWT. При беглом просмотре в некоторых шрифтах этот символ может выглядеть как комбинация латинских букв «/n» или «/~». Это сходство позволяет злоумышленникам формировать URL-адреса, которые кажутся настоящими, однако ведут на вредоносные ресурсы.

В фишинговом письме адрес выглядит как «https://admin.booking.com/hotel/hoteladmin/…», но на самом деле гиперссылка перенаправляет пользователей на «https://account.booking.comんdetailんrestric-access.www-account-booking.com/en/». Фактически зарегистрированный домен — «www-account-booking[.]com».

Пользователи, кликнувшие по ссылке, в конечном итоге попадают на «www-account-booking[.]com/c.php?a=0».

При переходе по ссылке устанавливается вредоносный MSI-файл, доступный по CDN: https://updatessoftware.b-cdn[.]net/john/pr/04.08/IYTDTGTF.msi.

Примеры таких вредоносных сайтов можно найти на MalwareBazaar (abuse.ch), а анализ на платформе any.run показывает цепь заражения. MSI-файл используется для загрузки дополнительных вредоносных программ, которые могут включать в себя софт для кражи данных и трояны удалённого доступа.

Кроме того, на BleepingComputer была обнаружена фишинговая кампания Intuit, использующая схожий домен, однако с буквой «L» вместо «i».

Злоумышленники уже не в первый раз нацеливаются на клиентов Booking.com. В марте этого года Microsoft предостерегла о фишинговых атаках, использующих социальную инженерию ClickFix для заражения работников гостиничного бизнеса вредоносным ПО.

Пользователям рекомендуется внимательно проверять действующий домен, находящийся в конце URL перед первым символом / — именно он является зарегистрированным доменом. Также советуется применять программные решения для защиты конечных точек.