ん – символът, който пренаписа правилата на киберсигурността
Как една елементарна писмен знак от японската писменост трансформира всеки уеб страница в капан...
Емил Василев преди 11 секунди 0 СподелиНай-четени
IT НовиниДаниел Десподов - 11:02 | 13.08.2025От пролетта половината страна е без капка дъжд, а управляващите предложиха заличаване на файловете от облака, с цел да се пести вода
IT НовиниСветослав Димитров - 17:45 | 13.08.2025Учени предвидиха каква ще бъде идната зима в Европа
IT НовиниДаниел Десподов - 16:05 | 13.08.2025Математическият трик, прикрит в номера на вашата банкова карта: ето за какво незабавно виждате грешката при въвеждането
Емил Василевhttps://www.kaldata.com/Нападателите са почнали да употребяват необикновена техника за прикриване на фишинг връзки, като ги карат да наподобяват като адреси на известния уебсайт за резервации Booking. Новата акция за злотворен програмен продукт употребява японския писмен знак хирагана „ ん “ (U+3093). В някои шрифтове и интерфейси той образно прилича наклонена линия, заради което URL адресът наподобява като естествен път в уеб страницата, до момента в който в действителност води до подправен домейн.
Изследовател на JAMESWT откри, че във фишинг имейли връзката наподобява като наклонена линия, само че в действителност води до подправен домейн:
https://admin.booking.com/hotel/hoteladmin/...в действителност насочва потребителя към адрес като:
https://account.booking.comんdetailんrestric-access.www-account-booking.com/en/Всичко до „ www-account-booking[.]com “ е просто поддомейн, имитиращ структурата на същинския уебсайт. Истинският регистриран домейн принадлежи на нападателите. Когато жертвата направлява до страницата „ www-account-booking[.]com/c.php?a=0 “, откъдето се изтегля злотворен MSI файл от възела updatessoftware.b-cdn[.]net CDN.
Според разбора на MalwareBazaar и ANY.RUN, инсталаторът разполага с спомагателни съставни елементи – евентуално принадлежности за добиване на информация или за далечен достъп.
Техниката се основава на потреблението на хомоглифи – знаци, сходни на други, само че принадлежащи към разнообразни писмености или Unicode набори.
Такива знаци постоянно се употребяват при хомографски офанзиви и фишинг. Пример за това е буквата „ О “ от кирилицата (U+041E), която е съвсем неразличима от латинското „ О “ (U+004F). Въпреки обстоятелството, че разработчиците на браузъри и услуги прибавят отбрана против такива подправени знаци, офанзивите не престават да се появяват.
Това не е първият случай, в който Booking се трансформира във фишинг примамка. През март Microsoft Threat Intelligence предизвести за акция с имейли, маскирани като услуга за резервации и употребяващи метода ClickFix за заразяване на компютрите на чиновниците на хотели. През април откриватели от Malwarebytes оповестиха за сходна скица.
По същото време BleepingComputer откри друга дейна акция, ориентирана към клиенти на Intuit. Те заменили първата писмен знак „ i “ в адресите с основна писмен знак „ L “, която наподобява идентично в дребните букви и някои шрифтове. Имейлите са основани предвид на мобилните устройства, при които вниманието на потребителите към детайлите на URL адреса е по-ниско. Бутонът „ Verify my email “ (Провери моя имейл) е водил до intfdsl[.]us/sa5h17, а при пряк достъп е пренасочвал към законна страница за вход в Intuit, което в допълнение е прикривало офанзивата.
И двете акции демонстрират, че подмяната на знаци в домейните остава работещ инструмент за обществено инженерство. Проверката на линка преди кликване и вниманието към частта от домейна, ситуирана директно пред първата единична наклонена линия остават съществени ограничения за отбрана.
Въпреки това, потреблението на хомоглифи като „ ん “ може да заблуди даже деликатните консуматори, по тази причина е значимо да допълните предпазливостта си с настоящ антивирусен програмен продукт, който може да блокира изтеглянето на злонамерено наличие.
