Booking.comを装うフィッシングサイトのURLに「ん」-ClickFIXも確認

セキュリティニュース

投稿日時: 更新日時:

Booking.comを装うフィッシングサイトのURLに「ん」-ClickFIXも確認

旅行予約サービス「Booking.com(ブッキング ドットコム)」をかたる新手のフィッシングが見つかりました。日本語のひらがな「ん」(U+3093)をURLに紛れ込ませ、

一見すると本物の「booking.com」の配下ページに見えるよう仕立て、最終的にマルウェア入りのインストーラー(MSI)を落とさせる手口です。

研究者のJAMESWT氏が最初に観測し、その後の追跡で同一キャンペーンに結び付くサンプルが複数、MalwareBazaarに登録されていることが分かりました。

関連:サイバー攻撃の手法 ClickFix(クリックフィックス)とは?特徴や攻撃の流れ 対策を解説

フィッシングの概要

攻撃メールやDMに記載されたリンクは、文面上は https://admin.booking.com/hotel/hoteladmin/... と見せかけながら、

実際のハイパーリンク先は次のような紛らわしい表記になっています。

https://account.booking.comんdetailんrestric-access.www-account-booking.com/en/

Booking.comを装うフィッシングサイトのURLに「ん」

画像:JAMESWT氏 X投稿

一部の環境やフォントでは「ん」が「/n」や「/~」のように見えるため、ブラウザのアドレスバーでも本物ドメインの下層パスに見間違えやすいのがポイントです。

また非日本語圏では「ん」が言語として認識できず、記号として認識してしまう場合もあります。

なお、登録ドメインは右端の www-account-booking[.]com であり、それより左側はすべてサブドメイン風の“飾り”にすぎません。

ユーザーが誘導されると、さらにwww-account-booking[.]com/c.php?a=0へリダイレクトされ、

CDN経由の不審MSI(例:https://updatessoftware.b-cdn[.]net/john/pr/04.08/IYTDTGTF.msi)をダウンロードさせられます。

最終的に情報窃取型やRATなどの二次ペイロードが落とされる流れが確認されています。

ClickFIXも確認

フィッシングサイト上で、「ロボット」という画面を表示させ、偽のエラーを表示しユーザーへ指定のコマンドを実行させるClickFIXの手口も確認できます。

ロボットかどうかの審査を行う偽の画面

ClickFIXも確認

 

画像:JAMESWT氏共有AnyRun

エラーが表示され、コマンド実行させる

ClickFIXのコマンド実行依頼画面

画像:JAMESWT氏共有AnyRun

2025年5月日本のセキュリティ企業、LACは日本でも既にClickFIXによる被害が発生したと警告をしています。

参照

https://x.com/JAMESWT_WT/status/1955060839569870991