OneDrive फ़िशिंग घोटाला

साइबर सुरक्षा विशेषज्ञों ने Microsoft OneDrive उपयोगकर्ताओं को लक्षित करने वाले एक नए फ़िशिंग अभियान के बारे में चेतावनी दी है। इस अभियान का उद्देश्य परिष्कृत सामाजिक इंजीनियरिंग तकनीकों का उपयोग करके उपयोगकर्ताओं को स्क्रिप्ट चलाने और उनके सिस्टम से समझौता करने के लिए धोखा देने के लिए एक हानिकारक PowerShell स्क्रिप्ट को तैनात करना है। शोधकर्ता इस अभिनव फ़िशिंग और डाउनलोडर अभियान की निगरानी कर रहे हैं, जिसे उन्होंने OneDrive पेस्टजैकिंग नाम दिया है।

हमलावर पीड़ितों को धोखा देने के लिए OneDrive की नकल करते हैं

यह हमला एक ईमेल से शुरू होता है जिसमें एक HTML फ़ाइल होती है, जिसे खोलने पर OneDrive पृष्ठ की नकल करने वाली एक छवि दिखाई देती है और एक त्रुटि संदेश प्रदर्शित होता है: "'OneDrive' क्लाउड सेवा से कनेक्ट करने में विफल। इस समस्या को हल करने के लिए, DNS कैश को मैन्युअल रूप से अपडेट करें।"

ईमेल में दो विकल्प दिए गए हैं: 'कैसे ठीक करें' और 'विवरण।' 'विवरण' लिंक उपयोगकर्ताओं को DNS समस्या निवारण पर एक वास्तविक Microsoft Learn पृष्ठ पर ले जाता है।

हालांकि, 'कैसे ठीक करें' पर क्लिक करने से उपयोगकर्ता को कई चरणों से गुजरना पड़ता है, जिसमें त्वरित लिंक मेनू तक पहुंचने के लिए 'विंडोज कुंजी + एक्स' दबाना, पावरशेल टर्मिनल खोलना, और समस्या को ठीक करने के लिए बेस 64-एनकोडेड कमांड पेस्ट करना शामिल है।

यह कमांड सबसे पहले ipconfig /flushdns को निष्पादित करता है, फिर C: ड्राइव पर 'downloads' नाम का एक फ़ोल्डर बनाता है। यह इस फ़ोल्डर में एक आर्काइव फ़ाइल डाउनलोड करके, उसका नाम बदलकर, उसकी सामग्री निकालकर (जिसमें 'script.a3x' और 'AutoIt3.exe' शामिल हैं) आगे बढ़ता है, और 'AutoIt3.exe' के साथ 'script.a3x' चलाता है।

फ़िशिंग रणनीति नई तरकीबें अपना रही है

OneDrive पेस्टजैकिंग फ़िशिंग अभियान का पता चला है जो अमेरिका, दक्षिण कोरिया, जर्मनी, भारत, आयरलैंड, इटली, नॉर्वे और यूके के उपयोगकर्ताओं को लक्षित कर रहा है

यह खोज क्लिकफिक्स के नाम से जानी जाने वाली इसी प्रकार की फ़िशिंग युक्तियों पर पहले किए गए शोध के बाद हुई है, जो अधिक आम होती जा रही हैं।

इसके अतिरिक्त, एक नई ईमेल-आधारित सोशल इंजीनियरिंग योजना सामने आई है, जो नकली विंडोज शॉर्टकट फाइलें वितरित करती है, जो डिस्कॉर्ड के कंटेंट डिलीवरी नेटवर्क (CDN) पर होस्ट किए गए दुर्भावनापूर्ण पेलोड को ट्रिगर करती हैं।

हमलावर वैध खातों का फायदा उठा रहे हैं

फ़िशिंग अभियान तेजी से वैध खातों से Microsoft Office फ़ॉर्म के लिंक वाले ईमेल का उपयोग कर रहे हैं ताकि लक्ष्य को धोखा देकर उनके Microsoft 365 लॉगिन क्रेडेंशियल्स का खुलासा किया जा सके। बहाने में अक्सर Outlook संदेशों को पुनर्स्थापित करना शामिल होता है।

हमलावर माइक्रोसॉफ्ट ऑफिस फॉर्म पर विश्वसनीय फॉर्म डिजाइन करते हैं, उनमें असुरक्षित लिंक एम्बेड करते हैं। ये फॉर्म ईमेल के माध्यम से बड़ी मात्रा में भेजे जाते हैं, जो वैध अनुरोधों के रूप में प्रस्तुत किए जाते हैं, जैसे पासवर्ड बदलना या महत्वपूर्ण दस्तावेजों तक पहुँचना, अक्सर एडोब या माइक्रोसॉफ्ट शेयरपॉइंट जैसे विश्वसनीय प्लेटफ़ॉर्म की नकल करते हैं।

इसके अतिरिक्त, अन्य फ़िशिंग प्रयासों में पीड़ितों को क्लाउडफ्लेयर आर2 पर होस्ट किए गए फ़िशिंग पृष्ठों पर अपनी क्रेडेंशियल्स दर्ज करने के लिए लुभाने के लिए इनवॉइस-थीम वाले प्रलोभन का इस्तेमाल किया गया है, जिसमें एकत्रित जानकारी टेलीग्राम बॉट के माध्यम से हमलावरों को भेजी जाती है।

यह स्पष्ट है कि विरोधी अपने हमलों की सफलता दर बढ़ाने के लिए सुरक्षित ईमेल गेटवे (एसईजी) को बायपास करने के लिए लगातार नए तरीके खोज रहे हैं।