+38(067)5040435 (КС, V, T, W) info@test.org.ua
  1. Home
  2. /
  3. Корисно знати послуги новини
  4. /
  5. Обережно шахраї: Фішингова кампанія...

Фішингова кампанія Booking.com використовує прихований символ «ん» для обману користувачів

Зловмисники використовують символ Unicode «ん», щоб фішингові посилання Booking.com виглядали як легітимні. Це дозволяє їм поширювати шкідливе ПЗ
Атака використовує японський символ хірагани ん (Unicode U+3093), який в деяких системах може відображатися як коса риска, що робить фішингове посилання схожим на справжнє.
Кампанію виявив фахівець з інформаційної безпеки JAMESWT. При побіжному погляді на деякі шрифти символ дуже схожий на послідовність латинських букв «/n» або «/~». Ця візуальна схожість дозволяє шахраям створювати URL-адреси, які виглядають як справжні, але перенаправляють користувачів на шкідливий сайт.
Нижче наведено копію фішингового листа:

Адреса в листі виглядає як «https://admin.booking.com/hotel/hoteladmin/…», але гіперпосилання веде на «https://account.booking.comんdetailんrestric-access.www-account-booking.com/en/». Насправді зареєстрований домен — «www-account-booking[.]com».
Жертви, які перейшли за посиланням, в кінцевому підсумку перенаправляються на «www-account-booking[.]com/c.php?a=0».
Після переходу встановлюється шкідливий MSI-файл за посиланням CDN: https://updatessoftware.b-cdn[.]net/john/pr/04.08/IYTDTGTF.msi.
Приклади шкідливого сайту доступні на сайті MalwareBazaar сайту abuse.ch, а аналіз any.run показує ланцюжок зараження. MSI-файл використовується для поширення додаткових шкідливих програм, що потенційно включають програми для крадіжки інформації або трояни віддаленого доступу.
У BleepingComputer також виявили фішингову кампанію Intuit, яка використовує схожий домен, але застосовує букву «L» замість «i».
Це не перший випадок, коли зловмисники атакують клієнтів Booking.com. У березні цього року Microsoft попередила про фішингові кампанії, що використовують атаки соціальної інженерії ClickFix для зараження співробітників сфери гостинності шкідливим ПЗ.
Користувачам рекомендують завжди перевіряти фактичний домен в правому кінці адреси перед першим символом / — це і є справжній зареєстрований домен. Крім того, рекомендується використовувати програмне забезпечення для безпеки кінцевих точок.

https://habr.com/

 

Додатково:

Ціну на газ для населення залишили незмінною Укуси комах: комарі, кліщі та бджоли Тест: Ковбаса Лікарська (23) Тест: Соняшникова рафінована олія Тест: Лікарська ковбаса (20) Матеріали, що використовуються для пакування
×