利用同形异义词构建可绕过人工检测的钓鱼链接——即使Booking.com用户也难以幸免

本文深入剖析了一种利用Unicode同形异义字符(如日语假名“ん”)精心构建钓鱼链接的新型攻击活动。该攻击通过视觉欺骗模仿合法域名,诱骗用户点击并下载恶意MSI安装程序,最终窃取信息或植入远程访问木马。

如何构建可绕过人工检测的同形异义词钓鱼链接——即使是Booking.com用户也难逃一劫

新发现的一起钓鱼活动正在利用Unicode同形异义字符(Homoglyph)技巧,假冒Booking.com,分发能够投放信息窃取程序或远程访问木马(RAT)的恶意MSI安装程序。

安全研究员JamesWT发现的此次攻击,利用了日语平假名字符“ん”(U+3093)。在某些字体下,尤其是在小屏幕或移动设备上,该字符在视觉上可能类似于正斜杠(“/”)或“/n”。

该活动的复杂之处在于,它结合了字体滥用、社会工程学和直接的恶意软件投放,绕过了用户通常的域名检查习惯。

技术剖析

同形异义攻击机制

钓鱼邮件中的欺骗性链接示例:

1

https://account.booking.comんdetailんrestric-access.www-account-booking.com/en/

看似合法的部分(account.booking.com)并非真实域名——真实域名之前的所有内容都被精心设计成类似于Booking.com URL路径的一部分。

实际注册的域名为:

1

www-account-booking[.]com

攻击者使用带有同形异义词的子域名填充,来模拟在Booking.com内部的目录导航。

视觉示例 — 用户所见 vs. 实际域名:

用户所见 实际域名归属
booking.comんdetailんrestric-access.www-account-booking.com www-account-booking[.]com

恶意软件投放

当受害者点击链接时:

  1. 他们会被重定向到:www-account-booking[.]com/c.php?a=0
  2. 该页面会强制下载一个文件:https://updatessoftware.b-cdn[.]net/john/pr/04.08/IYTDTGTF.msi
  3. MSI文件是一个初始阶段的恶意软件投放器。根据MalwareBazaar和any.run的分析,它很可能安装:
    • 信息窃取程序(浏览器数据、保存的凭证、加密货币钱包)
    • 用于持久访问的远程访问木马(RAT)

示例感染链: 钓鱼邮件 → 虚假Booking.com链接(带有“ん”) → 重定向到仿冒域名 → 下载恶意MSI → 安装信息窃取程序/RAT

相关活动 —— “Lntuit”钓鱼攻击

BleepingComputer还发现了一个针对Intuit用户的平行活动:

  • 攻击者在域名中用大写字母“L”替换了小写字母“i”:Lntuit.com
  • 在某些字体下,“Lntuit”可能与“Intuit”难以区分。
  • 这些钓鱼邮件:
    • 针对移动端浏览进行了优化(窄布局)
    • 将用户引导至虚假登录页面或恶意链接
    • 如果在非预期环境下访问,会重定向回合法的Intuit登录页面,以降低怀疑

这种技术的工作原理 —— 同形异义字符利用

同形异义字符是指来自一个字母表、在视觉上类似于另一个字母表中的字符但具有不同Unicode值的字符。

示例:

  • 日语“ん”(U+3093)在某些字体下看起来像拉丁语“/n”。
  • 西里尔字母“о”(U+043E)在许多字体下与拉丁字母“o”(U+006F)无法区分。

技术示例 — URL解析 一个合法的Booking.com链接: https://account.booking.com/detail/reservation 攻击者基于同形异义词的链接: https://account.booking.comんdetailんsecure-access.www-booking-secure[.]com 浏览器正确解析的注册域名为: www-booking-secure[.]com 它之前的所有内容(booking.comんdetailんsecure-access.)只是一个子域名字符串。

现实世界中的利用示例

示例1 — 针对酒店员工的攻击 攻击者可以向酒店员工发送一封虚假的“紧急预订更新”邮件: 请确认此预订更新:https://admin.booking.comんreservationんurgent.www-secure-booking-confirm[.]com 员工认出了开头的“admin.booking.com”,可能就不会去检查最右侧的注册域名。

示例2 — 移动用户陷阱 在移动设备上:

  • 有限的屏幕宽度可能会在booking.comんdetail...之后截断URL,从而隐藏恶意的注册域名。
  • 更小的字体使得同形异义字符的差异更难被发现。

示例3 — 多服务攻击活动 攻击者可以将同形异义字符技巧应用到其他品牌:

  • 在Google Docs、PayPal或Microsoft登录URL中,用同形异义字符替换/-
  • 将同形异义字符嵌入发送给目标的二维码中。

防御建议

  • 域名意识 – 始终检查第一个/之前的最右侧域名部分。
  • 安全意识培训 – 向员工传授有关同形异义字符和同形异义字攻击的知识。
  • 邮件过滤 – 标记包含可疑Unicode字符的URL。
  • 终端安全 – 确保终端防护软件扫描MSI和可执行文件下载。
  • 浏览器保护 – 使用能够高亮显示URL中混合字符集的安全功能。

这次攻击活动证明,仅凭肉眼检查URL已经不够。攻击者正在使用能通过粗略检查甚至规避某些自动化防御的Unicode技巧,这使得对域名进行技术验证变得至关重要。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次