Tycoon Phishing Kit

टाइकून 2FA, एक नई फ़िशिंग किट के उभरने से साइबर सुरक्षा समुदाय में महत्वपूर्ण चिंताएँ पैदा हो गई हैं। टेलीग्राम पर टाइकून ग्रुप के फ़िशिंग-एज़-ए-सर्विस (PaaS) के हिस्से के रूप में विपणन किया गया, यह $120 से भी कम कीमत पर उपलब्ध है। इसकी प्रमुख विशेषताओं में Microsoft दो-कारक प्रमाणीकरण को बायपास करने, शीर्ष-स्तरीय लिंक गति प्राप्त करने और एंटीबॉट उपायों को दरकिनार करने के लिए क्लाउडफ़्लेयर का उपयोग करने की क्षमताएँ शामिल हैं, जिससे पता न चलने वाले फ़िशिंग लिंक की निरंतरता सुनिश्चित होती है।

अक्टूबर 2023 के मध्य में, फ़िशिंग किट को अपडेट किया गया, जिसमें साइबर अपराधियों ने आसान लिंक और अटैचमेंट ऑपरेशन का वादा किया। यह अपडेट उनके फ़िशिंग पेजों में वेबसॉकेट तकनीक को एकीकृत करने के साथ मेल खाता है, जो अभिनेताओं के सर्वर पर अधिक कुशल डेटा ट्रांसमिशन के लिए ब्राउज़र-टू-सर्वर संचार को बढ़ाता है।

फरवरी 2024 तक, टाइकून ग्रुप ने जीमेल उपयोगकर्ताओं को लक्षित करते हुए एक नई सुविधा शुरू की, जो दो-कारक प्रमाणीकरण को बायपास करने की अनुमति देती है। इस रिलीज़ में जीमेल 'डिस्प्ले' लॉगिन पेज और गूगल कैप्चा शामिल है, जो माइक्रोसॉफ्ट 365 उपयोगकर्ताओं से परे इसके संभावित लक्षित दर्शकों को व्यापक बनाता है।

हाल ही में किए गए अपडेट में, समूह ने सक्रिय निर्देशिका फेडरेशन सेवा (ADFS) कुकीज़ एकत्रित करने के लिए ग्राहकों के लिए समर्थन प्रस्तुत किया है, जो विशेष रूप से ADFS का उपयोग करने वाले संगठनों के प्रमाणीकरण तंत्र को लक्षित करता है।

टाइकून फ़िशिंग किट संक्रमण श्रृंखला

हमले की श्रृंखला का क्रम एक मानक फ़िशिंग अभियान से शुरू होता है जो मुख्य फ़िशिंग लैंडिंग पेज के वास्तविक गंतव्य URL को अस्पष्ट करने के लिए विश्वसनीय डोमेन और क्लाउड-आधारित सेवाओं का शोषण करता है। इस रणनीति में प्रतिष्ठित ऑनलाइन मेलर और मार्केटिंग सेवाओं, न्यूज़लेटर्स या दस्तावेज़-साझाकरण प्लेटफ़ॉर्म को URL रीडायरेक्टर या अंतिम फ़िशिंग पेज के लिंक वाले फ़र्जी दस्तावेज़ों के लिए होस्ट के रूप में उपयोग करना शामिल है।

पुनर्निर्देशन ईमेल में दिए गए लिंक पर क्लिक करने पर होता है, जो या तो प्राथमिक फ़िशिंग पृष्ठ के लिंक वाले एक फ़र्जी दस्तावेज़ पर ले जाता है, या सीधे पुनर्निर्देशक द्वारा सुगम बनाए गए मुख्य फ़िशिंग लैंडिंग पृष्ठ पर ले जाता है।

मुख्य फ़िशिंग लैंडिंग पृष्ठ में दो प्राथमिक घटक शामिल होते हैं: एक 'index.php' PHP स्क्रिप्ट जो इसके द्वितीयक घटक को लोड करने के लिए जिम्मेदार होती है, एक '.JS' फ़ाइल जिसके आगे 'myscr' लगा होता है। बाद वाले घटक की भूमिका फ़िशिंग पृष्ठ के लिए HTML कोड उत्पन्न करना है।

टाइकून फ़िशिंग अभियान यह जाँचता है कि पीड़ित बॉट तो नहीं हैं

दूसरा घटक स्क्रिप्ट बॉट क्रॉलर और एंटीस्पैम इंजन को चकमा देने के लिए विभिन्न अस्पष्टीकरण तकनीकों का उपयोग करता है। ऐसी एक विधि में दशमलव पूर्णांक के रूप में दर्शाए गए वर्णों की एक लंबी सरणी शामिल होती है। प्रत्येक पूर्णांक को वर्णों में परिवर्तित किया जाता है और फिर फ़िशिंग पृष्ठ के HTML स्रोत कोड को बनाने के लिए संयोजित किया जाता है। इसके अतिरिक्त, स्क्रिप्ट एक अस्पष्टीकरण तकनीक का उपयोग करती है जिसे 'अपारदर्शी विधेय' के रूप में जाना जाता है, जो स्क्रिप्ट के अंतर्निहित तर्क को अस्पष्ट करने के लिए प्रोग्राम प्रवाह में अनावश्यक कोड पेश करता है।

प्रारंभ में, जावास्क्रिप्ट यह सत्यापित करने के लिए क्लाउडफ्लेयर टर्नस्टाइल सेवा का उपयोग करके प्रीफ़िल्टरिंग करता है कि लिंक एक मानव द्वारा एक्सेस किया गया है, जो इसे स्वचालित बॉट क्रॉलर से अलग करता है। इस फ़िशिंग-ए-ए-सर्विस (PaaS) के उपयोगकर्ता इस सुविधा को व्यवस्थापक पैनल में सक्रिय कर सकते हैं और अपने खातों से जुड़ी CloudFlare कुंजी प्रदान कर सकते हैं। यह एकीकरण क्लाउडफ्लेयर डैशबोर्ड के माध्यम से फ़िशर के लिए अतिरिक्त मेट्रिक्स भी प्रस्तुत करता है।

सफल सत्यापन पर, जावास्क्रिप्ट ग्राहक द्वारा चुनी गई फ़िशिंग थीम के अनुरूप एक नकली साइन-इन पेज लोड करता है। उदाहरण के लिए, यह Microsoft 365 लॉगिन पृष्ठ की नकल कर सकता है।

टाइकून अपने ग्राहकों को डैशबोर्ड नियंत्रण प्रदान करता है

टाइकून ग्रुप PaaS सब्सक्राइबर्स या किराएदारों के लिए एक एडमिन पैनल उपलब्ध कराता है, जो उन्हें लॉग इन करने, अभियान बनाने और मॉनिटर करने के साथ-साथ फ़िश्ड क्रेडेंशियल्स की देखरेख करने की क्षमता प्रदान करता है।

उपयोगकर्ताओं को उनके सदस्यता स्तर के आधार पर एक निर्धारित अवधि के लिए पैनल तक पहुंच प्राप्त हो सकती है। व्यक्ति पसंदीदा फ़िशिंग थीम चुनकर और विभिन्न PaaS सुविधाओं को समायोजित करके, सेटिंग अनुभाग के भीतर नए अभियान शुरू कर सकते हैं। इसके अतिरिक्त, ग्राहक उपयोगकर्ता नाम, पासवर्ड और सत्र कुकीज़ सहित फ़िश्ड क्रेडेंशियल्स की निगरानी कर सकते हैं। इसके अलावा, सेवा ग्राहकों को फ़िशिंग परिणामों को उनके टेलीग्राम खातों में अग्रेषित करने की अनुमति देती है।

टाइकून की तरह फ़िशिंग किट के माध्यम से फ़िशिंग हमलों को अंजाम देना आसान होता जा रहा है

फ़िशिंग-ए-ए-सर्विस मॉडल के उद्भव, जिसका उदाहरण टाइकून ग्रुप जैसी संस्थाओं द्वारा दिया गया है, ने कम अनुभवी अपराधियों के लिए भी, परिष्कृत फ़िशिंग हमलों को अंजाम देने के लिए प्रवेश की बाधा को काफी कम कर दिया है। जैसा कि शोधकर्ताओं ने नोट किया है, यह पहुंच ऐसी सेवाओं का उपयोग करके फ़िशिंग हमलों की वृद्धि में स्पष्ट है। टाइकून ग्रुप को जो चीज़ अलग करती है, वह है फ़िशिंग पेज में वेबसॉकेट तकनीक का समावेश, जो ब्राउज़र और हमलावर के सर्वर के बीच सहज डेटा ट्रांसमिशन को सक्षम बनाता है। इसके अलावा, यह सुविधा अभियान प्रबंधन और सब्सक्राइब किए गए अभिनेताओं के लिए फ़िश्ड क्रेडेंशियल्स की निगरानी को सरल बनाती है।