如何构建绕过人工检测的同形异义词钓鱼链接——连Booking.com用户都中招
攻击概述
新发现的钓鱼活动利用Unicode同形异义词技巧冒充Booking.com,分发能够投放信息窃取器或远程访问木马(RATs)的恶意MSI安装程序。
该攻击由安全研究员JamesWT发现,利用了日语平假名字符“ん”(U+3093),在某些字体(尤其是在小屏幕或移动设备上)中视觉上类似于斜杠(“/”)或“/n”。
该活动的复杂性在于其结合了字体滥用、社会工程和直接恶意软件投放,绕过了用户通常的域名检查习惯。
技术分析
同形异义词攻击机制
钓鱼邮件中的欺骗性链接示例:
|
|
看似合法的部分(account.booking.com)并非真实域名——真实域名之前的所有内容都被精心设计成看起来像Booking.com URL路径的一部分。
实际注册域名为:
|
|
攻击者使用带有同形异义词的子域名填充来模拟Booking.com内部的目录导航。
视觉示例——用户视图与实际域名对比:
| 用户看到的內容 | 实际域名所有权 |
|---|---|
| booking.comんdetailんrestric-access.www-account-booking.com | www-account-booking[.]com |
恶意软件投放
当受害者点击链接时:
- 被重定向到:
www-account-booking[.]com/c.php?a=0 - 该页面强制下载:
https://updatessoftware.b-cdn[.]net/john/pr/04.08/IYTDTGTF.msi
MSI文件是初始阶段的恶意软件投放器。根据MalwareBazaar和any.run的分析,它可能安装:
- 信息窃取器(浏览器数据、保存的凭据、加密钱包)
- 用于持久访问的远程访问木马(RATs)
样本感染链: 钓鱼邮件 → 虚假Booking.com链接(带“ん”) → 重定向到相似域名 → 下载恶意MSI → 安装信息窃取器/RAT
相关活动——“Lntuit”钓鱼
BleepingComputer还发现了一个针对Intuit用户的并行活动:
攻击者在域名中用大写“L”替换小写“i”:Lntuit.com
在某些字体中,“Lntuit”与“Intuit”无法区分。这些钓鱼邮件:
- 针对移动观看进行了优化(窄布局)
- 将用户引导至虚假登录页面或恶意链接
- 如果在上下文之外访问,会重定向回合法的Intuit登录以减少怀疑
技术原理——同形异义词利用
同形异义词是指来自一个字母表的字符在视觉上类似于来自另一个字母表的字符,但具有不同的Unicode值。
示例:
- 日语“ん”(U+3093)在某些字体中看起来像拉丁语“/n”
- 西里尔字母“о”(U+043E)在许多字体中与拉丁字母“o”(U+006F)无法区分
技术示例——URL解析
合法的Booking.com链接:
|
|
攻击者基于同形异义词的链接:
|
|
浏览器正确解析的注册域名为:
|
|
其之前的所有内容(booking.comんdetailんsecure-access.)只是一个子域名字符串。
实际利用示例
示例1——针对酒店工作人员
攻击者可能向酒店工作人员发送虚假的“紧急预订更新”电子邮件:
|
|
工作人员认出开头的“admin.booking.com”,可能不会检查最右侧的注册域名。
示例2——移动用户陷阱
在移动设备上:
- 有限的屏幕宽度可能在booking.comんdetail…之后截断URL,隐藏恶意注册域名
- 较小的字体使同形异义词差异更难发现
示例3——多服务活动
攻击者可以将同形异义词技巧转向其他品牌:
- 在Google Docs、PayPal或Microsoft登录URL中用同形异义等价物替换/或-
- 在发送给目标的QR码中嵌入同形异义词
防御建议
- 域名意识——始终检查第一个/之前的最右侧域名段
- 安全意识培训——教导员工有关同形异义词和同形异义字攻击
- 电子邮件过滤——标记包含可疑Unicode字符的URL
- 端点安全——确保端点保护扫描MSI和可执行下载
- 浏览器保护——使用在URL中突出显示混合字符集的安全功能
该活动证明视觉URL检查已不再足够。攻击者正在使用通过随意检查甚至规避某些自动防御的Unicode技巧,使得域名的技术验证成为必要。