Sneaky 2FA Phishing Kit
साइबर सुरक्षा शोधकर्ताओं ने एक परिष्कृत एडवर्सरी-इन-द-मिडिल (AitM) फ़िशिंग किट का पता लगाया है, जिसे स्नीकी 2FA कहा जाता है, जो कम से कम अक्टूबर 2024 से Microsoft 365 खातों को सक्रिय रूप से लक्षित कर रहा है। इस किट को क्रेडेंशियल्स और टू-फैक्टर ऑथेंटिकेशन (2FA) कोड को इंटरसेप्ट करने के लिए डिज़ाइन किया गया है, जो ख़तरा पैदा करने वालों को अकाउंट हैक करने के लिए एक शक्तिशाली टूल प्रदान करता है।
विषयसूची
स्नीकी 2FA का व्यापक रूप से अपनाया जाना और विशेषताएं
स्नीकी 2FA फ़िशिंग पेज होस्ट करने वाले लगभग 100 डोमेन की पहचान की गई है, जो साइबर अपराधियों के बीच मध्यम अपनाने का संकेत है। स्नीकी लॉग नामक समूह द्वारा फ़िशिंग-एज़-ए-सर्विस (PhaaS) के रूप में बेचा गया, यह किट एक फीचर-समृद्ध टेलीग्राम बॉट के माध्यम से वितरित किया जाता है। ग्राहकों को स्रोत कोड का एक अस्पष्ट संस्करण प्राप्त होता है, जिससे वे इसे स्वतंत्र रूप से तैनात कर सकते हैं।
पीड़ितों को लक्षित करने वाले फ़िशिंग अभियान
स्नीकी 2FA का लाभ उठाने वाले अभियान नकली भुगतान रसीद ईमेल भेजते देखे गए हैं जिनमें PDF अटैचमेंट होते हैं। इन PDF में QR कोड होते हैं, जिन्हें स्कैन करने पर, पीड़ितों को Microsoft 365 लॉगिन पोर्टल की नकल करने के लिए डिज़ाइन किए गए फ़िशिंग पेजों पर रीडायरेक्ट किया जाता है। ये पेज समझौता किए गए बुनियादी ढांचे पर होस्ट किए जाते हैं, जिनमें अक्सर वर्डप्रेस वेबसाइटें शामिल होती हैं, और वैधता बढ़ाने के लिए पीड़ितों के ईमेल पते को स्वचालित रूप से पॉप्युलेट करते हैं।
मजबूत बचाव और विश्लेषण-विरोधी रणनीति
स्नीकी 2FA उन्नत एंटी-बॉट और एंटी-एनालिसिस तकनीकों का उपयोग करता है। यह ट्रैफ़िक को फ़िल्टर करता है और अपने क्रेडेंशियल हार्वेस्टिंग पेजों तक पहुँच को प्रतिबंधित करने के लिए क्लाउडफ्लेयर टर्नस्टाइल चुनौतियों का उपयोग करता है। किट वेब ब्राउज़र डेवलपर टूल के माध्यम से जांच का पता लगाने और उसका विरोध करने के लिए जाँच भी चलाता है। डेटा सेंटर, प्रॉक्सी या VPN से आने वाले विज़िटर href.li सेवा के माध्यम से Microsoft से संबंधित विकिपीडिया पेज पर रीडायरेक्ट किए जाते हैं, जिससे किट को TRAC लैब्स से WikiKit उपनाम मिलता है।
उपयोगकर्ताओं को गुमराह करने के लिए भ्रामक दृश्य
इसकी प्रामाणिकता बढ़ाने के लिए, स्नीकी 2FA अपने नकली लॉगिन पृष्ठों पर पृष्ठभूमि के रूप में वैध Microsoft इंटरफ़ेस की धुंधली छवियों को शामिल करता है। इस रणनीति का उद्देश्य उपयोगकर्ताओं को यह भ्रम दिलाकर धोखा देना है कि वे वास्तविक Microsoft सामग्री तक पहुँच रहे हैं।
लाइसेंसिंग और W3LL स्टोर के लिंक
स्नीकी 2FA किट को काम करने के लिए सक्रिय सदस्यता की आवश्यकता होती है, जिसमें लाइसेंस कुंजी सत्यापन एक केंद्रीय सर्वर के माध्यम से किया जाता है। इस सेवा का विज्ञापन $200 प्रति माह पर किया जाता है, जो इसकी सुविधाओं तक विशेष पहुँच प्रदान करता है। जांच में W3LL स्टोर से भी कनेक्शन का पता चला है, जो पहले W3LL पैनल से जुड़ा एक फ़िशिंग सिंडिकेट था और व्यावसायिक ईमेल समझौता (BEC) हमलों में इस्तेमाल किए जाने वाले उपकरण थे। जबकि स्नीकी 2FA W3LL पैनल के साथ कुछ कोड और तकनीक साझा करता है, शोधकर्ताओं का मानना है कि यह प्रत्यक्ष उत्तराधिकारी नहीं है।
कोड पुनः उपयोग और माइग्रेशन का इतिहास
दिलचस्प बात यह है कि स्नीकी 2FA के कोडबेस के कुछ हिस्से W3LL OV6 से उधार लिए गए प्रतीत होते हैं, हाल के वर्षों में साइबर अपराधियों के बीच इसके डीऑबफस्केटेड संस्करण प्रसारित किए गए हैं। कुछ स्नीकी 2FA डोमेन पहले एविलगिनक्स2 और ग्रेटनेस जैसे AitM किट से जुड़े थे, जो नई सेवा को अपनाने की ओर कुछ हमलावरों के बीच बदलाव का संकेत देते हैं।
असामान्य उपयोगकर्ता-एजेंट व्यवहार: एक ख़तरे का संकेत
स्नीकी 2FA की सबसे खास विशेषताओं में से एक है प्रमाणीकरण प्रक्रिया के दौरान अलग-अलग हार्डकोडेड यूजर-एजेंट स्ट्रिंग का उपयोग करना। जबकि इस तरह के बदलाव वैध परिदृश्यों (जैसे, डेस्कटॉप ऐप और वेब ब्राउज़र के बीच स्विच करना) में हो सकते हैं, स्नीकी 2FA द्वारा उपयोग किया जाने वाला विशिष्ट अनुक्रम अत्यधिक अनियमित है। यह विसंगति किट को क्रिया में पहचानने के लिए एक विश्वसनीय साधन प्रदान करती है।
निष्कर्ष: साइबर अपराध परिदृश्य में बढ़ता खतरा
स्नीकी 2FA फ़िशिंग टूल में एक विकास का प्रतिनिधित्व करता है, जिसमें साइबर अपराधियों को पूरा करने के लिए उन्नत चोरी की रणनीति, उपयोगकर्ता धोखे और एक PhaaS मॉडल का संयोजन किया गया है। इसका अपनाना ऑनलाइन खतरों की लगातार बदलती प्रकृति और परिष्कृत फ़िशिंग अभियानों के खिलाफ सतर्क रहने की गंभीरता को उजागर करता है।
