Morphing Meerkat Phishing Kit
साइबर सुरक्षा शोधकर्ताओं ने एक परिष्कृत फ़िशिंग-एज़-ए-सर्विस (PhaaS) प्लेटफ़ॉर्म का पता लगाया है जो डोमेन नेम सिस्टम (DNS) मेल एक्सचेंज (MX) रिकॉर्ड का उपयोग करके 114 से अधिक ब्रांडों की नकल करने वाले नकली लॉगिन पेज बनाता है। इस ऑपरेशन के पीछे का अभिनेता, जिसे मॉर्फिंग मीरकैट के नाम से जाना जाता है, उपयोगकर्ता क्रेडेंशियल्स हासिल करने के लिए बड़े पैमाने पर फ़िशिंग अभियान चला रहा है।
विषयसूची
मॉर्फिंग मीरकैट कैसे काम करता है
हमलावर फ़िशिंग लिंक वितरित करने और चुराए गए क्रेडेंशियल्स को निकालने के लिए कई तरह के हथकंडे अपनाते हैं। इनमें शामिल हैं:
- ओपन रीडायरेक्ट का फायदा उठाना: वे एडटेक बुनियादी ढांचे की कमजोरियों का फायदा उठाते हैं।
- समझौता करने वाले डोमेन: हैक की गई वेबसाइटों का उपयोग फ़िशिंग सामग्री को होस्ट करने के लिए किया जाता है।
- चोरी किए गए क्रेडेंशियल्स को टेलीग्राम के माध्यम से धमकी देने वाले लोगों तक भेजा जाता है।
जुलाई 2024 के एक प्रलेखित अभियान में फ़िशिंग ईमेल शामिल थे, जिसमें कथित साझा दस्तावेज़ के लिंक थे। लिंक पर क्लिक करने से उपयोगकर्ता क्लाउडफ्लेयर R2 पर होस्ट किए गए नकली लॉगिन पेज पर पहुंच जाते थे, जहाँ उनके क्रेडेंशियल्स को चुराकर हमलावरों को भेज दिया जाता था।
चतुर रणनीति से सुरक्षा को दरकिनार करना
मॉर्फिंग मीरकैट ने सुरक्षा सुरक्षा को दरकिनार करते हुए हज़ारों फ़िशिंग ईमेल सफलतापूर्वक डिलीवर किए हैं। यह इस तरह से हासिल होता है:
- समझौता किए गए वर्डप्रेस साइटों का लाभ उठाना : वैध लेकिन हैक की गई वेबसाइटों पर फ़िशिंग पृष्ठों की मेजबानी करना।
- खुली रीडायरेक्ट कमजोरियों का फायदा उठाना : सुरक्षा जांच से बचने के लिए गूगल के स्वामित्व वाले डबलक्लिक जैसे विज्ञापन प्लेटफॉर्म का उपयोग करना।
फ़िशिंग प्लेटफ़ॉर्म अंग्रेजी, कोरियाई, स्पेनिश, रूसी, जर्मन, चीनी और जापानी सहित कई भाषाओं में सामग्री का गतिशील रूप से अनुवाद करके अपनी प्रभावशीलता को बढ़ाता है, जिससे यह दुनिया भर में पीड़ितों को लक्षित कर सकता है।
उन्नत बचाव तकनीकें
मॉर्फिंग मीरकैट पता लगाने से बचने के लिए कई एंटी-एनालिसिस और अस्पष्टीकरण तकनीकों का उपयोग करता है:
- कोड अस्पष्टीकरण एवं विस्तारण : फ़िशिंग पृष्ठों का विश्लेषण करना कठिन बना देता है।
- राइट-क्लिक और हॉटकीज़ को अक्षम करना: सुरक्षा शोधकर्ताओं को फ़िशिंग पृष्ठ के स्रोत कोड को शीघ्रता से देखने या सहेजने से रोकता है।
टेलर्ड फ़िशिंग में DNS MX रिकॉर्ड्स की भूमिका
मॉर्फिंग मीरकैट को अन्य फ़िशिंग खतरों से अलग करने वाली बात यह है कि यह फ़िशिंग हमलों को अनुकूलित करने के लिए DNS MX रिकॉर्ड का उपयोग करता है। फ़िशिंग किट पीड़ित के ईमेल सेवा प्रदाता - जैसे कि जीमेल, माइक्रोसॉफ्ट आउटलुक, या याहू! - की पहचान करने के लिए क्लाउडफ्लेयर या गूगल से MX रिकॉर्ड प्राप्त करता है और फिर एक मिलान वाला नकली लॉगिन पेज प्रदान करता है।
यदि फ़िशिंग किट MX रिकॉर्ड को पहचानने में विफल रहता है, तो यह राउंडक्यूब लॉगिन पेज प्रदर्शित करने के लिए डिफ़ॉल्ट हो जाता है। यह गतिशील अनुकूलन फ़िशिंग अनुभव को पीड़ितों के लिए सहज और प्रामाणिक बनाकर सफलता की संभावना को काफी हद तक बढ़ा देता है।
यह आक्रमण विधि असुरक्षित क्यों है?
पीड़ित के ईमेल प्रदाता के लिए फ़िशिंग पेजों को अनुकूलित करने की क्षमता इस अभियान को विशेष रूप से भ्रामक बनाती है। नकली लॉगिन पेज की परिचितता, एक अच्छी तरह से तैयार किए गए फ़िशिंग ईमेल के साथ मिलकर, इस बात की संभावना को बढ़ाती है कि कोई उपयोगकर्ता अनजाने में अपने क्रेडेंशियल दर्ज कर देगा।
DNS-आधारित खुफिया जानकारी का लाभ उठाकर, मॉर्फिंग मीरकैट फ़िशिंग हमलों को परिष्कार के एक नए स्तर तक ले जाता है, जिससे उन्हें पहचानना और भी कठिन हो जाता है और पहले से कहीं ज़्यादा विश्वसनीय हो जाता है। साइबर सुरक्षा विशेषज्ञ इसके प्रभाव को कम करने के लिए इसकी विकसित हो रही रणनीति पर नज़र रखना और उसका विश्लेषण करना जारी रखते हैं।
