फ़िशिंग अभियान में एमएस एक्सचेंज सर्वर का दुरुपयोग
एक नया अभियान सक्रिय रूप से IcedID बैंकिंग ट्रोजन का प्रसार कर रहा है। इस बार, धमकी देने वाले अभिनेता माइक्रोसॉफ्ट एक्सचेंज सर्वर का उपयोग कर रहे हैं जो उन्होंने पहले मैलवेयर फैलाने के लिए समझौता किया था।
अभियान फ़िशिंग ईमेल का उपयोग कर रहा है, ऐसा प्रतीत होता है कि वे वैध और भरोसेमंद स्रोतों से उत्पन्न हुए हैं, सफल संक्रमणों के लिए भेजे गए ईमेल की बेहतर रूपांतरण दर सुनिश्चित करते हैं।
हैकर्स चोरी के नए तरीके आजमाते हैं
वर्तमान अभियान की खोज सुरक्षा फर्म इंटेज़र के शोधकर्ताओं की एक टीम ने की थी। सतह पर, ऐसा लगता है कि अभियान के पीछे हैकर्स नाटकीय रूप से कुछ भी अभिनव नहीं कर रहे हैं। पुराने फ़िशिंग अभियान फ़िशिंग मेल भेजने के लिए पहले से छेड़छाड़ किए गए ईमेल खातों का उपयोग करने पर निर्भर थे, संदेशों में वैधता की झूठी भावना जोड़ते थे।
हालांकि, इस बार उन्होंने चोरी की नई रणनीतियां जोड़ी हैं जो लक्ष्य तक अंतिम ट्रोजन पेलोड की सफल डिलीवरी को और भी अधिक संभावित बनाती हैं।
दुर्भावनापूर्ण ईमेल को बाहर निकालने के लिए हैकर्स Microsoft Exchange मेल सर्वर का उपयोग करके फ़िशिंग मेल भेज रहे हैं। हालांकि, जब वास्तविक पेलोड की बात आती है तो वे चोरी की एक अतिरिक्त परत भी लगा रहे हैं।
दुर्भावनापूर्ण सामग्री को कार्यालय के दस्तावेज़ों में डालने के बजाय, जैसे फ़िशिंग अभियान सदियों से करते आ रहे हैं, एमएस ऑफिस फ़ाइल के अंदर दुर्भावनापूर्ण मैक्रोज़ को छिपाना, उदाहरण के लिए, अब हैकर्स ने संग्रह फ़ाइलों और डिस्क छवियों का उपयोग करना शुरू कर दिया है। यह उन्हें एमएस ऑफिस और विंडोज दोनों में एकीकृत सुरक्षा तंत्र को बायपास करने की अनुमति देता है, जिसे "मार्क-ऑफ-द-वेब" या एमओटीडब्ल्यू कहा जाता है। जब वेब से डाउनलोड की गई फ़ाइलों की बात आती है तो MOTW में विशिष्ट रोकथाम उपाय शामिल होते हैं, जिसमें Office अनुप्रयोगों में फ़ाइलों को संरक्षित दृश्य में खोलना शामिल है।
हालाँकि, संग्रह फ़ाइलों और .iso डिस्क छवियों का उपयोग करने से हैकर्स सुरक्षा की इस परत को दरकिनार कर सकते हैं, क्योंकि उन फ़ाइल प्रकारों को MOTW के साथ फ़्लैग किया जाएगा, लेकिन उनके अंदर मौजूद फ़ाइलें नहीं हो सकती हैं।
IcedID को फैलाने के लिए उपयोग किए जाने वाले फ़िशिंग ईमेल "थ्रेड हाईजैकिंग" कहलाते हैं - पीड़ित और समझौता किए गए खाते के बीच संचार के मौजूदा चेन ईमेल का उपयोग करते हुए। यह लालच को अतिरिक्त विश्वसनीयता देता है।
पेलोड तैनात होने के बाद हमेशा की तरह व्यापार
ईमेल में एक संलग्न संग्रह फ़ाइल है, जो पासवर्ड से सुरक्षित है। पासवर्ड आसानी से ईमेल में स्थित है। संग्रह में एक .iso डिस्क छवि फ़ाइल है, जिसमें एक main.dll फ़ाइल और एक शॉर्टकट दस्तावेज़.lnk फ़ाइल शामिल है। "दस्तावेज़" को खोलने का प्रयास पीड़ित के सिस्टम में पेलोड की तैनाती की ओर ले जाता है, सिस्टम से समझौता करने के लिए main.dll फ़ाइल का उपयोग करता है।
हमले की श्रृंखला के विकास के साथ, समान खतरों से सुरक्षित रहना न केवल एक मजबूत सुरक्षा प्रोटोकॉल बल्कि व्यक्तिगत जागरूकता और महत्वपूर्ण मानवीय त्रुटि से बचने के लिए भी नीचे आता है।