हैकर अब सरकारी एजेंसियों को मैलवेयर भेजने के लिए Microsoft के आधिकारिक लॉगिन का उपयोग करते हैं

JAKARTA - Microsoft ने सरकारी और सार्वजनिक क्षेत्र की संस्थाओं को मैलवेयर भेजने के लिए OAuth सुविधा का उपयोग करने वाले एक उन्नत फ़िशिंग अभियान के बारे में चेतावनी दी है। पासवर्ड चोरी करने वाले क्लासिक हमले से अलग, यह नवीनतम रणनीति आधिकारिक लॉगिन पृष्ठों का उपयोग करके खतरनाक फ़ाइलों को वितरित करने के लिए एक प्रवेश द्वार के रूप में करती है।

Microsoft की आधिकारिक रिपोर्ट के अनुसार, हैकर समूह OAuth प्रणाली में एक वैध रीडायरेक्ट फ़ंक्शन का दुरुपयोग करता है। OAuth खुद एक प्राधिकरण प्रोटोकॉल है जो उपयोगकर्ताओं को किसी तीसरे पक्ष के ऐप को सीधे क्रेडेंशियल साझा किए बिना विश्वसनीय खाते का उपयोग करके किसी सेवा में प्रवेश करने की अनुमति देता है। डिज़ाइन में, यह प्रणाली सुरक्षित है। हालांकि, इस अभियान में, खाई एक बग से नहीं, बल्कि इस तरह से है कि फ़ीचर को कैसे हेराफेरी की जाती है।

अपराधी ने बहुत आश्वस्त करने वाली ईमेल भेजी। कुछ ने माइक्रोसॉफ्ट टीम मीटिंग रिकॉर्ड के रूप में भेजा, अन्य ने माइक्रोसॉफ्ट 365 पासवर्ड रीसेट की सूचना के रूप में दावा किया। ईमेल में OAuth पैरामीटर के साथ एक लिंक था जिसे संशोधित किया गया था।

जब पीड़ित लिंक पर क्लिक करते हैं, तो उन्हें Microsoft के आधिकारिक लॉगिन पृष्ठ पर निर्देशित किया जाता है। कोई संदिग्ध दृश्य नहीं है। हालांकि, प्रमाणीकरण प्रक्रिया को जानबूझकर त्रुटि उत्पन्न करने के लिए ट्रिगर किया जाता है। यह त्रुटि है जो रीडायरेक्ट सुविधा को सक्रिय करती है, ताकि उपयोगकर्ता आसानी से हैकर द्वारा नियंत्रित साइट पर भेजा जा सके।

इस बिंदु पर, हमले का रूप बदल गया। पीड़ितों को फिर से पासवर्ड दर्ज करने के लिए कहा नहीं जाता है। इसके बजाय, उन्हें एक फ़िशिंग-ए-ए-सर्विस प्लेटफ़ॉर्म पर निर्देशित किया जाता है जो खतरनाक डाउनलोड फ़ाइलें प्रदान करता है।

एक मामले में, पीड़ित शॉर्टकट फ़ाइल और तस्करी HTML घटक वाले एक ZIP फ़ाइल डाउनलोड करता है। खोलने पर, फ़ाइल एक छिपे हुए PowerShell कमांड को चलाती है जो एक वैध निष्पादन को कॉल करती है, फिर साइड-लोडिंग तकनीक के माध्यम से खतरनाक DLL को लोड करती है। परिणाम एक आउटबाउंड कनेक्शन है सर्वर आदेश और हमलावरों के नियंत्रण।

Microsoft ने पुष्टि की कि OAuth लॉगिन पृष्ठ हैक नहीं किया गया था और आधिकारिक स्क्रीन पर क्रेडेंशियल चोरी नहीं हुई थी। सिस्टम अपने डिजाइन के अनुसार काम करता है। हालांकि, रीडायरेक्ट सुविधा, जिसका उद्देश्य लॉगिन के बाद उपयोगकर्ताओं को ऐप पर वापस निर्देशित करना है, वास्तव में मैलवेयर वितरण का मार्ग बन गया है।

यह हमला फ़िशिंग तकनीक के विकास को दर्शाता है। यदि पहले इसका ध्यान उपयोगकर्ताओं को पासवर्ड देने के लिए फुसलाना था, तो अब दृष्टिकोण अधिक सूक्ष्म है: शिकार को खतरनाक डाउनलोड के साथ फंसाने से पहले सुरक्षा की भावना पैदा करने के लिए आधिकारिक लॉगिन पृष्ठ पर विश्वास का लाभ उठाना।

तकनीकी कंपनी ने संगठनों से ईमेल फ़िल्टरिंग प्रणाली को मजबूत करने, एप्लिकेशन रीडायरेक्ट कॉन्फ़िगरेशन की समीक्षा करने और स्टाफ़ को उन्नत फ़िशिंग रणनीतियों के बारे में शिक्षित करने का आग्रह किया। अभियान का पैमाना अभी तक निश्चित रूप से ज्ञात नहीं है, लेकिन हमले के पैटर्न ने एक अच्छी तरह से योजनाबद्ध स्तर दिखाया है।

एक ऐसे युग में जहां एकल लॉगिन और केंद्रीकृत प्रमाणीकरण डिजिटल उत्पादकता का आधार बन गया है, हर सुविधा एक हेराफेरी उपकरण में बदल सकती है यदि इसे कड़ी नजर नहीं रखी जाती है। साइबर दुनिया तेजी से आगे बढ़ रही है, और ख़तरा करने वाले अभिनेता जो कुछ भी वैध है, उसे ख़तरनाक बनाने में अधिक रचनात्मक लगते हैं