旅行予約サービス「Booking.com(ブッキング ドットコム)」をかたる新手のフィッシングが見つかりました。日本語のひらがな「ん」(U+3093)をURLに紛れ込ませ、
一見すると本物の「booking.com」の配下ページに見えるよう仕立て、最終的にマルウェア入りのインストーラー(MSI)を落とさせる手口です。
研究者のJAMESWT氏が最初に観測し、その後の追跡で同一キャンペーンに結び付くサンプルが複数、MalwareBazaarに登録されていることが分かりました。
関連:サイバー攻撃の手法 ClickFix(クリックフィックス)とは?特徴や攻撃の流れ 対策を解説
フィッシングの概要
攻撃メールやDMに記載されたリンクは、文面上は https://admin.booking.com/hotel/hoteladmin/... と見せかけながら、
実際のハイパーリンク先は次のような紛らわしい表記になっています。
https://account.booking.comんdetailんrestric-access.www-account-booking.com/en/

画像:JAMESWT氏 X投稿
一部の環境やフォントでは「ん」が「/n」や「/~」のように見えるため、ブラウザのアドレスバーでも本物ドメインの下層パスに見間違えやすいのがポイントです。
また非日本語圏では「ん」が言語として認識できず、記号として認識してしまう場合もあります。
なお、登録ドメインは右端の www-account-booking[.]com であり、それより左側はすべてサブドメイン風の“飾り”にすぎません。
ユーザーが誘導されると、さらにwww-account-booking[.]com/c.php?a=0へリダイレクトされ、
CDN経由の不審MSI(例:https://updatessoftware.b-cdn[.]net/john/pr/04.08/IYTDTGTF.msi)をダウンロードさせられます。
最終的に情報窃取型やRATなどの二次ペイロードが落とされる流れが確認されています。
ClickFIXも確認
フィッシングサイト上で、「ロボット」という画面を表示させ、偽のエラーを表示しユーザーへ指定のコマンドを実行させるClickFIXの手口も確認できます。
ロボットかどうかの審査を行う偽の画面

エラーが表示され、コマンド実行させる

2025年5月日本のセキュリティ企業、LACは日本でも既にClickFIXによる被害が発生したと警告をしています。
参照








