Redazione RHC : 15 agosto 2025 12:14
Los atacantes han comenzado a usar un truco inusual para enmascarar enlaces de phishing, haciéndolos aparecer como direcciones de Booking.com. La nueva campaña de malware utiliza el carácter hiragana japonés «ん» (U+3093). En algunas fuentes e interfaces, se asemeja visualmente a una barra diagonal, lo que hace que la URL parezca una ruta normal en el sitio, aunque en realidad conduce a un dominio falso.
El investigador JAMESWT descubrió que el enlace en los correos electrónicos de phishing se ve así:
https://admin.booking.com/hotel/hoteladmin/…
Pero en realidad Dirige al usuario a un tipo
https://account.booking.comんdetailんrestrict-access.www-account-booking.com/en/.
Todo lo anterior a «www-account-booking[.]com» es simplemente un subdominio que imita la estructura del sitio web real. El dominio registrado real pertenece a los atacantes. Al hacer clic, la víctima accede a la página
www-account-booking[.]com/c.php?a=0
que descarga un archivo MSI malicioso del nodo CDN updatessoftware.b-cdn[.]net.
Según el análisis de MalwareBazaar y ANY.RUN, el instalador distribuye componentes adicionales, probablemente robadores de información o herramientas de acceso remoto.
La técnica se basa en el uso de homoglifos, que son símbolos que se parecen a otros, pero pertenecen a diferentes alfabetos o conjuntos Unicode. Estos símbolos se utilizan a menudo en ataques homógrafos y de phishing. Un ejemplo es la «O» cirílica (U+041E), que es casi indistinguible de la «O» latina (U+004F). A pesar de que los desarrolladores de navegadores y servicios han incorporado protecciones contra estas sustituciones, los ataques continúan.
Esta no es la primera vez que Booking.com se convierte en una trampa de phishing. En marzo, Microsoft Threat Intelligence informó sobre correos electrónicos que se hacían pasar por un servicio de reservas y que utilizaban la técnica ClickFix para infectar los ordenadores de los empleados del hotel. Y en abril, los investigadores de Malwarebytes informaron de un esquema similar.
Sin embargo, el uso de homoglifos como «ん» puede engañar incluso a los usuarios más precavidos, por lo que es importante complementar la precaución con un software antivirus actualizado que pueda bloquear la descarga de contenido malicioso.
RedazioneGoogle ha presentado una nueva herramienta de IA para Drive para escritorio. Se dice que el modelo se ha entrenado con millones de muestras reales de ransomware y puede suspender la sincronización pa...
Expertos de Palo Alto Networks han identificado un nuevo grupo de hackers vinculado al Partido Comunista Chino. Unit 42, la división de inteligencia de amenazas de la compañía con sede en Californi...
Los sistemas de Inteligencia Artificial Generativa (GenAI) están revolucionando la forma en que interactuamos con la tecnología, ofreciendo capacidades extraordinarias en la creación de texto, imá...
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido una vulnerabilidad crítica en la popular utilidad Sudo, utilizada en sistemas Linux y similares a Unix...
El Departamento de Justicia de EE. UU. recibió autorización judicial para realizar una inspección remota de los servidores de Telegram como parte de una investigación sobre explotación infantil. ...
