OneDrive Phishing Scam

সাইবারসিকিউরিটি বিশেষজ্ঞরা মাইক্রোসফ্ট ওয়ানড্রাইভ ব্যবহারকারীদের লক্ষ্য করে একটি নতুন ফিশিং প্রচারণা সম্পর্কে সতর্ক করেছেন। এই প্রচারাভিযানের লক্ষ্য হল একটি ক্ষতিকারক PowerShell স্ক্রিপ্ট ব্যবহার করে অত্যাধুনিক সামাজিক প্রকৌশল কৌশল ব্যবহার করে ব্যবহারকারীদের স্ক্রিপ্ট চালানোর জন্য প্রতারিত করা এবং তাদের সিস্টেমের সাথে আপস করা। গবেষকরা এই উদ্ভাবনী ফিশিং এবং ডাউনলোডার প্রচারাভিযান নিরীক্ষণ করছেন, যাকে তারা ওয়ানড্রাইভ পেস্টজ্যাকিং নামে অভিহিত করেছেন।

আক্রমণকারীরা শিকারদের প্রতারণার জন্য OneDrive অনুকরণ করে

আক্রমণটি একটি HTML ফাইল সহ একটি ইমেল দিয়ে শুরু হয় যা খোলা হলে, একটি OneDrive পৃষ্ঠার অনুকরণ করে একটি চিত্র উপস্থাপন করে এবং একটি ত্রুটি বার্তা প্রদর্শন করে যাতে বলা হয়: "'OneDrive' ক্লাউড পরিষেবার সাথে সংযোগ করতে ব্যর্থ৷ এই সমস্যাটি সমাধান করতে, ম্যানুয়ালি DNS আপডেট করুন৷ ক্যাশে।"

ইমেল দুটি বিকল্প প্রদান করে: 'কীভাবে ঠিক করবেন' এবং 'বিশদ বিবরণ।' 'বিশদ বিবরণ' লিঙ্কটি ব্যবহারকারীদের DNS সমস্যা সমাধানে একটি প্রকৃত মাইক্রোসফ্ট শিখন পৃষ্ঠায় নির্দেশ করে।

যাইহোক, 'কিভাবে ঠিক করতে হয়'-এ ক্লিক করা ব্যবহারকারীদেরকে কয়েকটি ধাপের মধ্যে নিয়ে যায় যার মধ্যে রয়েছে 'উইন্ডোজ কী + এক্স' টিপে কুইক লিংক মেনু অ্যাক্সেস করা, পাওয়ারশেল টার্মিনাল খোলা, এবং সমস্যা সমাধানের উদ্দেশ্যে একটি বেস64-এনকোডেড কমান্ড পেস্ট করা।

এই কমান্ডটি প্রথমে ipconfig /flushdns কার্যকর করে, তারপর C: ড্রাইভে 'ডাউনলোডস' নামে একটি ফোল্ডার তৈরি করে। এটি এই ফোল্ডারে একটি সংরক্ষণাগার ফাইল ডাউনলোড করে, এটির নাম পরিবর্তন করে, এর বিষয়বস্তু বের করে (যার মধ্যে 'script.a3x' এবং 'AutoIt3.exe' রয়েছে), এবং 'AutoIt3.exe'-এর সাথে 'script.a3x' চালানোর মাধ্যমে এগিয়ে যায়।

ফিশিং কৌশল নতুন কৌশল অবলম্বন করা হয়

OneDrive পেস্টজ্যাকিং ফিশিং প্রচারাভিযানটি মার্কিন যুক্তরাষ্ট্র, দক্ষিণ কোরিয়া, জার্মানি, ভারত, আয়ারল্যান্ড, ইতালি, নরওয়ে এবং যুক্তরাজ্য জুড়ে ব্যবহারকারীদের লক্ষ্য করে সনাক্ত করা হয়েছে

এই আবিষ্কারটি অনুরূপ ফিশিং কৌশলগুলির উপর পূর্ববর্তী গবেষণা অনুসরণ করে, যা ClickFix নামে পরিচিত, যা আরও সাধারণ হয়ে উঠছে।

উপরন্তু, একটি নতুন ইমেল-ভিত্তিক সোশ্যাল ইঞ্জিনিয়ারিং স্কিম আবির্ভূত হয়েছে, জাল উইন্ডোজ শর্টকাট ফাইলগুলি বিতরণ করে যা ডিসকর্ডের সামগ্রী বিতরণ নেটওয়ার্ক (CDN) এ হোস্ট করা দূষিত পেলোডগুলিকে ট্রিগার করে৷

আক্রমণকারীরা বৈধ অ্যাকাউন্ট শোষণ করছে

ফিশিং প্রচারাভিযানগুলি তাদের Microsoft 365 লগইন শংসাপত্রগুলি প্রকাশ করার লক্ষ্যে কৌশলে আপোসকৃত বৈধ অ্যাকাউন্টগুলি থেকে Microsoft Office ফর্মগুলির লিঙ্ক সহ ইমেলগুলি ক্রমবর্ধমানভাবে ব্যবহার করছে৷ অজুহাত প্রায়ই আউটলুক বার্তা পুনরুদ্ধার জড়িত.

আক্রমণকারীরা মাইক্রোসফ্ট অফিস ফর্মগুলিতে বিশ্বাসযোগ্য ফর্মগুলি ডিজাইন করে, তাদের মধ্যে অনিরাপদ লিঙ্কগুলি এম্বেড করে। এই ফর্মগুলি ইমেলের মাধ্যমে প্রচুর পরিমাণে পাঠানো হয়, বৈধ অনুরোধ হিসাবে ছদ্মবেশী করে, যেমন পাসওয়ার্ড পরিবর্তন বা গুরুত্বপূর্ণ নথি অ্যাক্সেস করা, প্রায়শই Adobe বা Microsoft SharePoint এর মতো বিশ্বস্ত প্ল্যাটফর্মের অনুকরণ করে।

উপরন্তু, অন্যান্য ফিশিং প্রচেষ্টা ক্লাউডফ্লেয়ার R2-তে হোস্ট করা ফিশিং পৃষ্ঠাগুলিতে শিকারদের তাদের শংসাপত্রগুলি প্রবেশ করতে প্রলুব্ধ করার জন্য চালান-থিমযুক্ত টোপ নিযুক্ত করেছে, সংগৃহীত তথ্য একটি টেলিগ্রাম বটের মাধ্যমে আক্রমণকারীদের কাছে পাঠানো হয়েছে।

এটা স্পষ্ট যে প্রতিপক্ষরা তাদের আক্রমণের সাফল্যের হার বাড়ানোর জন্য সিকিউর ইমেল গেটওয়ে (SEGs) বাইপাস করার জন্য ক্রমাগত নতুন পদ্ধতি অন্বেষণ করছে।