Cómo crear un enlace de phishing con homoglifos que nadie detecta

Se ha detectado una nueva campaña de phishing que utiliza un truco de homoglifos Unicode para hacerse pasar por Booking.com y distribuir instaladores MSI maliciosos capaces de entregar ladrones de información (infostealers) o troyanos de acceso remoto (RATs).

El ataque, identificado por el investigador de seguridad JamesWT, explota el carácter hiragana japonés “ん” (U+3093), que en ciertas tipografías se parece a una barra inclinada (“/”) o “/n”, especialmente en pantallas pequeñas o dispositivos móviles.

La sofisticación de la campaña radica en la combinación de abuso tipográfico, ingeniería social y entrega directa de malware, burlando el hábito del usuario de inspeccionar visualmente los dominios.

Análisis Técnico

Mecánica del Ataque con Homoglifos

  • Ejemplo de enlace engañoso en correo de phishing: https://account.booking.comんdetailんrestric-access.www-account-booking.com/en/
  • La parte que parece legítima (account.booking.com) no es el dominio real; todo lo que está antes del dominio registrado es diseñado para parecer una ruta interna de Booking.com.
  • El dominio registrado real es: www-account-booking[.]com
  • Los atacantes usan sobrecarga de subdominios junto con homoglifos para simular rutas legítimas dentro de Booking.com.

Ejemplo Visual — Lo que ve el usuario vs. dominio real:

Lo que ve el usuarioDominio registrado real
booking.comんdetailんrestric-access.www-account-booking.comwww-account-booking[.]com

Entrega de Malware

Cuando la víctima hace clic en el enlace:

  1. Es redirigida a: www-account-booking[.]com/c.php?a=0
  2. Esa página fuerza la descarga de: https://updatessoftware.b-cdn[.]net/john/pr/04.08/IYTDTGTF.msi
  3. El archivo MSI es un dropper de malware de primera etapa.
  4. Análisis de MalwareBazaar y any.run indica que probablemente instala:
    • Ladrones de información (datos del navegador, credenciales guardadas, billeteras de criptomonedas)
    • RATs para acceso remoto persistente

Cadena de infección:

Correo de phishing → Enlace falso de Booking.com (con ん) → Redirección a dominio falso → Descarga MSI malicioso → Instalación de Infostealer/RAT

Campañas Relacionadas – Phishing de “Lntuit”

BleepingComputer también identificó una campaña paralela contra usuarios de Intuit:

  • Los atacantes reemplazan la “i” minúscula con una “L” mayúscula: Lntuit.com
  • En algunas tipografías, “Lntuit” es indistinguible de “Intuit”.
  • Estos correos:
    • Están optimizados para visualización en móvil (diseño estrecho)
    • Llevan a páginas falsas de inicio de sesión o enlaces maliciosos
    • Redirigen al sitio legítimo de Intuit si se accede fuera del flujo de phishing, para reducir sospechas

Cómo Funciona — Explotación de Homoglifos

Un homoglifo es un carácter de un alfabeto que visualmente se parece a otro carácter de un alfabeto distinto, pero con un valor Unicode diferente.
Ejemplos:

  • Japonés “ん” (U+3093) se parece a “/n” en latino.
  • Cirílico “о” (U+043E) es idéntico a la “o” latina (U+006F) en muchas fuentes.

Ejemplo Técnico — Resolución de URL
URL legítima:

https://account.booking.com/detail/reservation

URL maliciosa con homoglifos:

https://account.booking.comんdetailんsecure-access.www-booking-secure[.]com

El navegador resuelve el dominio registrado como:

www-booking-secure[.]com

Todo lo que está antes (booking.comんdetailんsecure-access.) es solo un string de subdominio.

Ejemplos de Explotación en el Mundo Real

Ejemplo 1 — Ataque a Personal Hotelero

Un atacante envía un correo con “actualización urgente de reserva”:

Por favor, confirme esta actualización:  
https://admin.booking.comんreservationんurgent.www-secure-booking-confirm[.]com

El empleado, reconociendo “admin.booking.com”, podría no revisar el dominio final registrado.

Ejemplo 2 — Trampa para Usuario Móvil

En móviles:

  • El ancho limitado de pantalla puede truncar la URL después de booking.comんdetail..., ocultando el dominio malicioso.
  • La tipografía pequeña dificulta aún más ver la diferencia.

Ejemplo 3 — Campaña Multi-servicio

Los atacantes pueden aplicar el truco a otros servicios:

  • Sustituyendo / o - por homoglifos equivalentes en Google Docs, PayPal o Microsoft.
  • Incrustando estos homoglifos en códigos QR enviados a las víctimas.

Recomendaciones de Defensa

  1. Conciencia de Dominio – Revisar siempre el último segmento antes de la primera barra “/”.
  2. Capacitación en Seguridad – Enseñar a identificar ataques de homoglifos y homógrafos.
  3. Filtros de Correo – Bloquear o alertar sobre URLs con caracteres Unicode sospechosos.
  4. Protección Endpoint – Escanear automáticamente MSI y ejecutables descargados.
  5. Seguridad del Navegador – Activar alertas para mezclas de caracteres en URLs.

Conclusión

Esta campaña confirma que la inspección visual de URLs ya no es suficiente. Los atacantes usan trucos Unicode que superan una revisión rápida y evaden algunas defensas automáticas. La validación técnica de dominios es ahora obligatoria para prevenir incidentes.