एविलप्रॉक्सी फ़िशिंग किट

इन्फोसेक शोधकर्ताओं ने धोखाधड़ी से संबंधित अभिनेताओं द्वारा ईविलप्रॉक्सी नामक फ़िशिंग-ए-ए-सर्विस (PhaaS) टूलकिट का तेजी से उपयोग करने की एक खतरनाक प्रवृत्ति देखी है। मैलवेयर को प्रमुख संगठनों के अधिकारियों पर विशेष ध्यान देने के साथ खाता अधिग्रहण हमलों को व्यवस्थित करने के तरीके के रूप में तैनात किया जा रहा है।

इस तरह के हमले के अभियान को एक हाइब्रिड रणनीति का उपयोग करते हुए देखा गया है जो एविलप्रॉक्सी टूलकिट की कार्यक्षमता का लाभ उठाती है। इसका उद्देश्य बड़ी संख्या में Microsoft 365 उपयोगकर्ता खातों को लक्षित करना है, जिसके परिणामस्वरूप मार्च से जून 2023 की समय सीमा के भीतर दुनिया भर के कई संगठनों में लगभग 120,000 फ़िशिंग ईमेल का वितरण होगा।

गौरतलब है कि कई समझौता किए गए उपयोगकर्ताओं में से, लगभग 39% की पहचान सी-स्तर के अधिकारियों के रूप में की जाती है। इसमें 9% सीईओ और 17% सीएफओ शामिल हैं। ये हमले उन कर्मियों पर भी ध्यान केंद्रित करते हैं जिनके पास संवेदनशील वित्तीय संसाधनों या महत्वपूर्ण जानकारी तक पहुंच होती है। प्रभावशाली ढंग से, सभी समझौता किए गए उपयोगकर्ताओं में से कम से कम 35% ने खाता सुरक्षा की पूरक परतों का विकल्प चुना था।

साइबर सुरक्षा विशेषज्ञ संकेत देते हैं कि ये सुनियोजित अभियान उद्यमों के भीतर बहु-कारक प्रमाणीकरण (एमएफए) के बढ़ते कार्यान्वयन की सीधी प्रतिक्रिया है। नतीजतन, खतरे वाले अभिनेताओं ने एडवर्सरी-इन-द-मिडिल (एआईटीएम) फ़िशिंग किट को शामिल करके नई सुरक्षा बाधाओं पर काबू पाने के लिए अपनी रणनीतियों को अनुकूलित किया है। ये किट क्रेडेंशियल्स, सत्र कुकीज़ और वन-टाइम पासवर्ड कैप्चर करने के लिए तैयार किए गए हैं, जिससे हमलावरों को वास्तविक समय में यह समझने की अनुमति मिलती है कि फ़िश्ड उपयोगकर्ता उच्च-स्तरीय महत्व का है या नहीं। यह सटीक पहचान हमलावरों को कम मूल्यवान प्रोफाइल की उपेक्षा करते हुए आकर्षक लक्ष्यों पर अपने प्रयासों को केंद्रित करते हुए, तेजी से खाते तक पहुंच प्राप्त करने में सक्षम बनाती है।

एविलप्रॉक्सी जैसी फ़िशिंग किट कम-कुशल साइबर अपराधियों को परिष्कृत हमले करने की अनुमति देती हैं

EvilProxy की शुरुआत सितंबर 2022 में शोधकर्ताओं द्वारा की गई थी जब उन्होंने Apple iCloud, Facebook, GoDaddy, GitHub, Google, ड्रॉपबॉक्स, इंस्टाग्राम, Microsoft, NPM, PyPI, RubyGems, Twitter सहित विभिन्न प्रमुख प्लेटफार्मों से जुड़े उपयोगकर्ता खातों से समझौता करने की इसकी क्षमता का खुलासा किया था। याहू, और यांडेक्स, दूसरों के बीच में। इस टूलकिट का विपणन एक सदस्यता सेवा के रूप में किया जाता है, जो $400 प्रति माह की आधार दर पर उपलब्ध है। हालाँकि, Google खातों को लक्षित करने के लिए लागत $600 तक बढ़ सकती है, जो उन क्रेडेंशियल्स से जुड़े उच्च मूल्य को दर्शाता है।

फ़िशिंग-ए-ए-सर्विस (PhaaS) टूलकिट साइबर अपराध परिदृश्य में एक उल्लेखनीय विकास का प्रतिनिधित्व करते हैं, जो कम तकनीकी रूप से कुशल अपराधियों के लिए प्रवेश बाधाओं को प्रभावी ढंग से कम करते हैं। यह विकास एक सहज और लागत-कुशल दृष्टिकोण को बनाए रखते हुए, बड़े पैमाने पर परिष्कृत फ़िशिंग हमलों को निष्पादित करने में सक्षम बनाता है।

ऐसे सीधे और बजट-अनुकूल इंटरफेस के साथ खतरों की उपलब्धता के परिणामस्वरूप सफल मल्टी-फैक्टर प्रमाणीकरण (एमएफए) फ़िशिंग गतिविधियों में महत्वपूर्ण वृद्धि हुई है। यह प्रवृत्ति साइबर अपराधियों द्वारा अपनाई गई रणनीति में बदलाव का संकेत देती है, जिससे उन्हें एमएफए सिस्टम की कमजोरियों का कुशलतापूर्वक फायदा उठाने और अपने हमलों के पैमाने को बढ़ाने की अनुमति मिलती है।

ईविलप्रॉक्सी थ्रेट एक्टर्स बिना सोचे-समझे पीड़ितों को लुभाने के लिए धोखाधड़ी वाले ईमेल का उपयोग करते हैं

रिकॉर्ड किए गए हमले की कार्रवाई फ़िशिंग ईमेल के वितरण से शुरू होती है जो Adobe और DocuSign जैसी विश्वसनीय सेवाओं की आड़ लेती है। इस कपटपूर्ण दृष्टिकोण का उद्देश्य ईमेल के भीतर पाए जाने वाले दुर्भावनापूर्ण यूआरएल के साथ बातचीत करने के लिए प्राप्तकर्ताओं को लुभाना है। एक बार जब इन यूआरएल पर क्लिक किया जाता है, तो एक मल्टी-स्टेज पुनर्निर्देशन अनुक्रम ट्रिगर हो जाता है। लक्ष्य को Microsoft 365 जैसे दिखने वाले लॉगिन पेज की ओर ले जाना है, जिसे चतुराई से प्रामाणिक पोर्टल की नकल करने के लिए डिज़ाइन किया गया है। नकली लॉगिन पेज एक रिवर्स प्रॉक्सी के रूप में कार्य करता है, जो फॉर्म के माध्यम से सबमिट की गई जानकारी को गुप्त रूप से कैप्चर करता है।

इस अभियान का एक उल्लेखनीय तत्व तुर्की आईपी पते से उत्पन्न होने वाले उपयोगकर्ता ट्रैफ़िक का जानबूझकर बहिष्कार है। इस विशेष ट्रैफ़िक को वैध वेबसाइटों पर पुनर्निर्देशित किया जाता है, जो इस संभावना की ओर इशारा करता है कि अभियान आयोजकों की उत्पत्ति उस देश में हो सकती है।

एक बार जब एक सफल खाता अधिग्रहण हासिल हो जाता है, तो खतरे वाले कलाकार संगठन के क्लाउड वातावरण में एक मजबूत पकड़ स्थापित करने के लिए आगे बढ़ते हैं। यह उनकी स्वयं की बहु-कारक प्रमाणीकरण (एमएफए) पद्धति, जैसे कि दो-कारक प्रमाणीकरण ऐप, शुरू करके पूरा किया जाता है। यह रणनीतिक कदम यह सुनिश्चित करता है कि खतरे वाले अभिनेता लगातार दूरस्थ पहुंच बनाए रख सकते हैं, जिससे सिस्टम के भीतर पार्श्व आंदोलन और अतिरिक्त मैलवेयर के प्रसार की सुविधा मिलती है।

फिर अर्जित पहुंच का उपयोग मुद्रीकरण उद्देश्यों के लिए किया जाता है। धमकी देने वाले अभिनेता वित्तीय धोखाधड़ी में शामिल होने, गोपनीय डेटा को बाहर निकालने या यहां तक कि समझौता किए गए उपयोगकर्ता खातों को अन्य दुर्भावनापूर्ण संस्थाओं को बेचने का विकल्प चुन सकते हैं। वर्तमान गतिशील खतरे के परिदृश्य में, रिवर्स प्रॉक्सी खतरे-विशेष रूप से ईविलप्रॉक्सी द्वारा उदाहरण दिया गया है-एक अत्यधिक शक्तिशाली खतरा है, जो अतीत में उपयोग की जाने वाली कम परिष्कृत फ़िशिंग किट की क्षमताओं को पार कर गया है। विशेष रूप से, बहु-कारक प्रमाणीकरण (एमएफए) भी इन उन्नत क्लाउड-आधारित खतरों से प्रतिरक्षित नहीं है।