技术剖析
同形异义字符攻击机制
安全研究员JamesWT发现了一场新网络钓鱼活动,该活动利用Unicode同形异义字符技巧仿冒Booking.com,分发能够部署信息窃取程序或远程访问木马(RAT)的恶意MSI安装程序。
这种攻击利用了日文平假名字符“ん”(U+3093)。在某些字体(尤其是在较小屏幕或移动设备上)中,该字符在视觉上可以类似于斜杠(“/”)或“/n”。
该活动的复杂之处在于它结合了字体滥用、社会工程和直接的恶意软件交付,绕过了用户通常的域名检查习惯。
攻击手法示例 钓鱼邮件中的欺骗性链接:
|
|
看似合法的部分(account.booking.com)并非真实域名——真实域名之前的所有内容都被精心设计成看起来像是Booking.com网址路径的一部分。
实际注册的域名是:
|
|
攻击者使用带有同形异义字符的子域名填充技术,来模拟Booking.com内部的目录导航。
视觉对比:用户所见 vs. 实际域名
| 用户看到的链接 | 实际拥有的域名 |
|---|---|
booking.comんdetailんrestric-access.www-account-booking.com |
www-account-booking[.]com |
恶意软件交付
当受害者点击链接时:
- 他们会被重定向至:
1www-account-booking[.]com/c.php?a=0 - 该页面会强制下载一个MSI文件:
1https://updatessoftware.b-cdn[.]net/john/pr/04.08/IYTDTGTF.msi - 该MSI文件是一个初始阶段的恶意软件投放器。
- 根据MalwareBazaar和any.run的分析,它很可能会安装:
- 信息窃取程序(窃取浏览器数据、保存的凭据、加密货币钱包)
- 远程访问木马(RAT),用于建立持久访问
感染链条示例:
钓鱼邮件 → 伪造的Booking.com链接(包含“ん”) → 重定向至相似域名 → 下载恶意MSI → 安装信息窃取程序/RAT
相关活动——“Lntuit”钓鱼
BleepingComputer还发现了针对Intuit用户的并行活动:
- 攻击者在域名中将小写“i”替换为大写“L”:
Lntuit.com - 在某些字体中,“Lntuit”可能与“Intuit”无法区分。
- 这些钓鱼邮件:
- 针对移动端查看进行了优化(窄版布局)
- 将用户引导至伪造的登录页面或恶意链接
- 如果用户在脱离上下文的情况下访问,会重定向回合法的Intuit登录页面,以降低怀疑
技术原理——同形异义字符利用
同形异义字符是指来自一种字母表、在视觉上类似于另一种字母表中的字符,但具有不同Unicode值的字符。
示例:
- 日文“ん”(U+3093)在某些字体中看起来像拉丁字母“/n”。
- 西里尔字母“о”(U+043E)在许多字体中与拉丁字母“o”(U+006F)无法区分。
URL解析技术示例 合法的Booking.com链接:
|
|
攻击者基于同形异义字符的链接:
|
|
浏览器正确解析出的注册域名为:
|
|
它之前的所有内容(booking.comんdetailんsecure-access.)只是一个子域名字符串。
实际攻击示例
示例1——针对酒店员工 攻击者可以向酒店员工发送伪造的“紧急预订更新”邮件:
|
|
员工看到开头的“admin.booking.com”,可能不会检查最右侧的注册域名。
示例2——移动用户陷阱 在移动设备上:
- 有限的屏幕宽度可能会在
booking.comんdetail...之后截断URL,从而隐藏恶意的注册域名。 - 更小的字体使得同形异义字符的差异更难被发现。
示例3——多服务活动 攻击者可以将同形异义字符技巧扩展到其他品牌:
- 在Google Docs、PayPal或Microsoft登录URL中,用同形异义字符替换“/”或“-”。
- 将同形异义字符嵌入发送给目标的二维码中。
防御建议
- 域名意识 – 始终检查第一个“/”之前最右侧的域名部分。
- 安全意识培训 – 教导员工了解同形异义字符和同形异义字攻击。
- 邮件过滤 – 标记包含可疑Unicode字符的URL。
- 端点安全 – 确保端点防护软件能扫描MSI和可执行文件下载。
- 浏览器防护 – 使用能高亮显示URL中混合字符集的安全功能。
这场攻击活动证明,仅凭视觉检查URL已不再足够。攻击者正在使用能通过粗略检查甚至规避某些自动化防御的Unicode技巧,这使得对域名进行技术验证成为必要。