Source: Cybersecuritynews.com — Le 28 août 2025, des chercheurs rapportent une nouvelle campagne de phishing identifiée par le chercheur JAMESWT, qui abuse du caractère hiragana « ん » (U+3093) pour imiter visuellement la barre oblique « / » et fabriquer des URLs quasi indiscernables, ciblant des clients de Booking.com.

  • 🎣 Type d’attaque: phishing avec homographes Unicode. La technique remplace « / » par « ん » (U+3093), qui ressemble visuellement à une barre oblique dans certains contextes d’affichage. Résultat: des chemins d’URL paraissent légitimes alors que la destination réelle pointe vers un autre domaine.

  • 🎯 Cible et leurre: Booking.com. Exemple fourni: ce qui ressemble à « https://account.booking[.]com/detail/restric-access.www-account-booking[.]com/en/ » est construit avec « ん » à la place des « / », menant en fait vers le domaine www-account-booking[.]com.

  • 🔗 Chaîne d’infection: selon l’analyse (incluant ANY.RUN), la campagne commence par des e‑mails de phishing menant à ces URLs déguisées, puis redirige les victimes vers des sites malveillants qui délivrent des installateurs MSI contenant des malwares (notamment des information stealers et des RATs).

  • 📈 Contexte et tendances: cette technique illustre l’évolution des attaques homographes visant à contourner les filtres e‑mail et outils de sécurité, avec une tromperie visuelle qui met en défaut l’inspection manuelle des URLs. Le texte mentionne que des navigateurs modernes (ex. Chrome) ont des protections contre de nombreux cas, mais que l’inspection visuelle seule n’est plus infaillible; des mesures combinées (logiciels à jour, filtrage, sensibilisation) sont recommandées dans l’article.

  • 🧩 IOCs et TTPs

    • IOCs:
      • Domaine malveillant: www-account-booking[.]com
      • Exemple d’URL trompeuse (avec caractères trompeurs): « https://account.booking[.]com/detail/restric-access.www-account-booking[.]com/en/ » (les « / » remplacés par « ん »)
    • TTPs:
      • Utilisation d’homographes Unicode: substitution de « / » par « ん » (U+3093) pour simuler des sous-répertoires
      • Phishing par e‑mail menant à des redirections
      • Livraison de fichiers MSI malveillants
      • Charges utiles: information stealers, RATs

Cet article est une analyse de menace visant à décrire une technique de tromperie Unicode employée dans une campagne ciblant des utilisateurs de Booking.com et à en exposer les mécanismes et risques.

🧠 TTPs et IOCs détectés

TTP

Utilisation d’homographes Unicode pour simuler des sous-répertoires, Phishing par e-mail menant à des redirections, Livraison de fichiers MSI malveillants, Charges utiles: information stealers, RATs

IOC

Domaine malveillant: www-account-booking[.]com, Exemple d’URL trompeuse: https://account.booking[.]com/detail/restric-access.www-account-booking[.]com/en/ (les « / » remplacés par « ん »)

🔗 Source originale : https://cybersecuritynews.com/phishing-attack-uses-japanese-character/