Atores de ameaça estão utilizando um caractere Unicode para fazer links de phishing parecerem legítimos links do Booking.com em uma nova campanha de distribuição de malware.
O ataque faz uso do caractere hiragana japonês, ん, que em alguns sistemas, pode parecer uma barra e fazer com que uma URL de phishing pareça realista para uma pessoa em uma olhada casual.
BleepingComputer também se deparou com uma campanha de phishing da Intuit usando um domínio parecido, usando a letra L no lugar de 'i' em Intuit.
O ataque, inicialmente identificado pelo pesquisador de segurança JAMESWT, abusa do caractere hiragana japonês “ん” (Unicode U+3093), que se assemelha visualmente à sequência de letras latinas '/n' ou '/~', em uma rápida olhada em algumas fontes.
Esta similaridade visual permite que os golpistas criem URLs que pareçam pertencer ao domínio genuíno do Booking.com, mas direcionem os usuários para um site malicioso.
Abaixo está uma cópia do e-mail de phishing compartilhado pelo pesquisador de segurança:
O texto no e-mail, https://admin.booking.com/hotel/hoteladmin/...
por si só é enganoso.
Embora possa parecer um endereço do Booking.com, o hyperlink aponta para:
https://account.booking.comんdetailんrestric-access.www-account-booking.com/en/
Quando renderizado na barra de endereços de um navegador web, os caracteres 'ん' podem enganar os usuários fazendo-os pensar que estão navegando através de um subdiretório do booking.com.
Na realidade, o domínio registrado real é www-account-booking[.]com, um parecido malicioso, e tudo antes disso é apenas uma string de subdomínio enganosa.
Vítimas que clicam são eventualmente redirecionadas para:
www-account-booking[.]com/c.php?a=0
Isso, por sua vez, entrega um instalador MSI malicioso a partir de um link CDN, https://updatessoftware.b-cdn[.]net/john/pr/04.08/IYTDTGTF.msi
Amostras do site malicioso estão disponíveis no MalwareBazaar da abuse.ch, com análises de any.run mostrando a cadeia de infecção.
O arquivo MSI é usado para soltar outros payloads, potencialmente incluindo infostealers ou trojans de acesso remoto.
Esta tática de phishing explora homoglyphs.
Um homoglyph é um caractere que parece similar a outro, mas pertence a um conjunto de caracteres ou alfabeto diferente.
Esses caracteres visualmente similares podem ser explorados em ataques de phishing ou para criar conteúdo enganoso.
Por exemplo, o caractere cirílico "О" (U+041E) pode parecer idêntico à letra latina "O" (U+004F) para um humano, mas são caracteres diferentes.
Dadas suas similaridades visuais, homoglyphs têm sido aproveitados inúmeras vezes por atores de ameaças em ataques de homógrafos e e-mails de phishing.
Defensores e desenvolvedores de software, ao longo dos últimos anos, também implementaram medidas de segurança que facilitam para os usuários distinguir entre homoglyphs distintos.
Felizmente, em testes do BleepingComputer, o caractere hiranga ん não renderizava tão facilmente em navegadores web de modelos Android ou iPhone (pelo menos quando o conjunto de caracteres latinos padrão e teclado em língua inglesa eram usados), tornando o truque muito mais fácil para atores de ameaças realizarem em desktops.
Essa não é a primeira vez que atores de ameaças visaram clientes do Booking.com.
Em março deste ano, a Microsoft alertou sobre campanhas de phishing se passando pelo Booking.com e usando ataques de engenharia social ClickFix para infectar trabalhadores da hospitalidade com malware.
Em 2023, a Akamai revelou como hackers estavam redirecionando hóspedes de hotéis para sites falsos do Booking.com para roubar informações de cartões de crédito.
Sergiu Gatlan, do BleepingComputer, identificou uma campanha de phishing separada envolvendo usuários sendo alvo de e-mails com temas da Intuit.
Estes e-mails parecem vir e levar a endereços intuit.com, mas usam domínios começando com Lntuit — que, em minúsculo, pode se assemelhar a "intuit" em certas fontes.
Uma técnica simples, porém eficaz.
O layout anormalmente estreito deste e-mail em clientes de desktop sugere que foi principalmente projetado para visualização móvel, com os atacantes contando com usuários móveis clicando no link de phishing "Verificar meu e-mail" sem inspecioná-lo cuidadosamente.
O botão leva os usuários para: https://intfdsl[.]us/sa5h17/
Interessantemente, o link ilícito, quando acessado diretamente, ou seja, não a partir da conta de e-mail do usuário alvo, parece redirecionar o usuário de volta à legítima página de login da Intuit em https://accounts.intuit.com/app/sign-in.
Estes incidentes são um lembrete de que os atacantes continuarão a encontrar maneiras criativas de abusar da tipografia para engenharia social.
Para se proteger, sempre passe o mouse sobre os links antes de clicar para revelar o destino verdadeiro.
Os usuários devem sempre verificar o domínio real no extremo direito do endereço antes do primeiro / único — este é o domínio registrado de fato.
Concedido, o uso de caracteres Unicode visualmente enganosos como 'ん' cria obstáculos adicionais e demonstra que a inspeção visual do URL por si só não é à prova de falhas.
Manter o software de segurança de endpoint atualizado adiciona outra camada de defesa contra ataques, já que kits de phishing modernos muitas vezes entregam malware diretamente, após um link de phishing ser clicado.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...