利用同形异义字符绕过人工检测的钓鱼链接构建技术

技术剖析

同形异义字符攻击机制

一项新发现的钓鱼活动正在利用Unicode同形异义字符技巧冒充Booking.com，分发能够传播信息窃取程序或远程访问木马（RAT）的恶意MSI安装程序。该攻击由安全研究员JamesWT发现，它利用了日文平假名字符“ん”（U+3093）。在某些字体（尤其是在小屏幕或移动设备上）中，该字符在视觉上可能类似于斜杠（“/”）或“/n”。

欺诈链接示例：

1

https://account.booking.comんdetailんrestric-access.www-account-booking.com/en/

看起来合法的部分（account.booking.com）并非真实域名 —— 真实域名之前的所有内容都被精心设计成看起来像Booking.com URL路径的一部分。实际注册的域名是：www-account-booking[.]com。攻击者利用同形异义字符进行子域名填充，以模拟在Booking.com内部的目录导航。

视觉对比示例：

用户看到的链接	实际所属域名
`booking.comんdetailんrestric-access.www-account-booking.com`	`www-account-booking[.]com`

恶意软件投放

当受害者点击链接时：

他们会被重定向到：www-account-booking[.]com/c.php?a=0
该页面强制下载：https://updatessoftware.b-cdn[.]net/john/pr/04.08/IYTDTGTF.msi
MSI文件是一个初始阶段的恶意软件投放器。根据MalwareBazaar和any.run的分析，它很可能安装：
- 信息窃取程序（浏览器数据、保存的凭证、加密货币钱包）
- 用于持久化访问的远程访问木马（RAT）

感染链条示例： 钓鱼邮件 → 虚假Booking.com链接（含“ん”） → 重定向至相似域名 → 下载恶意MSI → 安装信息窃取程序/RAT

技术原理详解 —— 同形异义字符利用

同形异义字符是指来自一种字母表、在视觉上类似于另一种字母表中的字符但具有不同Unicode值的字符。 例子：

日文“ん”（U+3093）在某些字体中看起来像拉丁字母“/n”。
西里尔字母“о”（U+043E）在许多字体中与拉丁字母“o”（U+006F）难以区分。

URL解析技术示例：

合法的Booking.com链接： https://account.booking.com/detail/reservation
攻击者基于同形异义字符的链接： https://account.booking.comんdetailんsecure-access.www-booking-secure[.]com 浏览器会正确地将注册域名解析为：www-booking-secure[.]com。其之前的所有内容（booking.comんdetailんsecure-access.）都只是一个子域名字符串。

现实世界利用案例

案例1 —— 针对酒店员工 攻击者可能向酒店员工发送伪造的“紧急预订更新”邮件： 请确认此预订更新： https://admin.booking.comんreservationんurgent.www-secure-booking-confirm[.]com 员工看到开头的“admin.booking.com”，可能不会检查最右侧的注册域名。

案例2 —— 移动用户陷阱 在移动设备上：

有限的屏幕宽度可能会在 booking.comんdetail... 之后截断URL，从而隐藏恶意注册域名。
较小的字体使得同形异义字符的差异更难以察觉。

案例3 —— 多服务活动 攻击者可以将同形异义字符技巧用于其他品牌：

在Google Docs、PayPal或Microsoft登录URL中用同形异义字符替代 / 或 -。
将同形异义字符嵌入发送给目标的二维码中。

防御建议

域名意识：始终检查第一个 / 之前的最右侧域名部分。
安全意识培训：向员工传授有关同形异义字符和同形异义词攻击的知识。
邮件过滤：标记包含可疑Unicode字符的URL。
终端安全：确保终端防护软件扫描MSI和可执行文件下载。
浏览器保护：使用能高亮显示URL中混合字符集的安全功能。

此活动证明，仅凭视觉检查URL已不再足够。攻击者正在使用能通过随意检查甚至规避某些自动防御的Unicode技巧，这使得对域名进行技术验证成为必要。