Uma nova campanha de phishing abusa de uma adaptação equivocada do sistema de escrita Hiragana para enganar clientes do Booking.com. O ataque é distribuído por e-mail e busca infectar computadores de usuários desatentos.
O link malicioso encaminha a vítima para o fluxo da campanha, e um dos estágios envolve o download de um arquivo MSI falso a partir de uma rede de entrega de conteúdo. O instalador abre portas para novos malwares, incluindo spywares e trojans de acesso remoto.
Como funciona a nova campanha de phishing?
Divulgada pelo pesquisador JAMESWT (@JAMESWT_WT no X), a campanha usa o caractere japonês “ん”. Em alguns sistemas, o símbolo pode ser exibido como uma barra “/”, impedindo que o usuário identifique a página falsa pelo endereço da URL.
⛔️account.]booking.]comんdetailんrestric-access.www-account-booking.]com/en/
👇
⛔️www-account-booking.]com/c.php?a=0
👇
updatessoftware.b-cdn[.net/john/pr/04.08/IYTDTGTF.msi
⚠️⚠️
“ん”
⚠️⚠️Sampleshttps://t.co/ObVpVjGAog
AnyRunhttps://t.co/771SRcvXpb pic.twitter.com/RK5BEVjZEz— JAMESWT (@JAMESWT_WT) August 12, 2025
Mesmo exibido corretamente, o caractere também pode enganar usuários desatentos, já que se parece com “/n” ou “/~” em algumas fontes, confundindo quem não observa com atenção o endereço acessado.
O golpe segue este fluxo:
- A vítima recebe um e-mail falsificado se passando pelo Booking.com com o link malicioso;
- O link exibido parece legítimo, mas contém o caractere “ん” — visível apenas ao inspecionar o hiperlink real;
- Na página falsa, o alvo é instruído a encerrar o acesso de um dispositivo desconhecido;
- Ao clicar, o usuário é redirecionado para outro domínio malicioso, que distribui o arquivo MSI;
- O instalador, quando executado, abre portas para diferentes tipos de malware voltados ao roubo de informações e acesso remoto.
Phishing com homóglifos: uma técnica antiga, mas eficaz
Essa estratégia explora homóglifos, caracteres de escrita diferentes que têm aparência semelhante. Um exemplo clássico é a letra maiúscula “I” e a letra minúscula “l” em muitas fontes, quase indistinguíveis. Outro é o caractere cirílico “О”, visualmente idêntico à letra “O” latina.
Apesar de antiga, a técnica segue eficaz, sobretudo em e-mails falsificados. Por isso, especialistas alertam: nunca clique diretamente em links recebidos por e-mail e sempre confira cuidadosamente o endereço do remetente.
Não é a primeira vez que o Booking.com é alvo
Em janeiro deste ano, a Microsoft já havia alertado sobre campanhas de phishing que exploravam o Booking.com junto à técnica de engenharia social conhecida como ClickFix, que usa janelas pop-up simulando falhas técnicas para enganar vítimas.
- Confira: O que é autenticação multifatorial e porque você deveria habilitá-la em todas as suas contas
Outro caso recente, reportado pelo BleepingComputer, envolve homóglifos usados em domínios falsos da Intuit, com a substituição da letra “I” maiúscula pela “l” minúscula para enganar usuários.
Como se proteger desse tipo de golpe
- Desconfie de mensagens recebidas por e-mail, especialmente se exigirem ação imediata;
- Sempre verifique o domínio do remetente antes de interagir com o conteúdo;
- Evite clicar em links, mesmo que pareçam legítimos;
- Ao acessar um link, confira cuidadosamente a URL em busca de caracteres estranhos;
- Considere o uso de antivírus com proteção contra phishing.
Quer se proteger melhor contra golpes online e acompanhar de perto as principais ameaças digitais? Continue ligado no TecMundo e siga nossas redes sociais para não perder dicas de cibersegurança e alertas de segurança digital.
