साइबर सुरक्षा विशेषज्ञों ने चेतावनी दी है कि ऑनलाइन पहचान प्रणाली से जुड़े OAuth रेडिरेक्शन मैकेनिज्म का दुरुपयोग कर एक नया फिशिंग और मालवेयर वितरण अभियान चलाया जा रहा है। रिपोर्ट के अनुसार, हमलावर वैध प्रमाणीकरण प्रक्रिया जैसा दिखने वाला ट्रैफिक तैयार कर यूजर्स को संदिग्ध वेबसाइटों तक पहुंचा रहे हैं। इस तकनीक का उपयोग मुख्य रूप से सरकारी संस्थानों और सार्वजनिक क्षेत्र के संगठनों को निशाना बनाने के लिए किया जा रहा है।
फिशिंग लिंक के बहाने
Microsoft के सुरक्षा शोधकर्ताओं ने बताया कि साइबर अपराधी सोशल सिक्योरिटी नोटिस, ई-सिग्नेचर रिक्वेस्ट, मीटिंग इनवाइट और पासवर्ड रीसेट जैसे विषयों के साथ फिशिंग लिंक भेज रहे हैं। कई मामलों में इन लिंक को PDF फाइलों के भीतर भी छिपाया गया है ताकि सामान्य सुरक्षा स्कैनिंग सिस्टम से बचा जा सके। विशेषज्ञों के अनुसार हमलावर OAuth 2.0 प्रोटोकॉल के वैध रीडायरेक्शन व्यवहार का फायदा उठा रहे हैं।
FCRF Launches Flagship Certified Fraud Investigator (CFI) Program
मैन-इन-द-मिडिल फिशिंग
इसके तहत साइबर अपराधी अपने नियंत्रण वाले टेनेंट में एक दुर्भावनापूर्ण OAuth एप्लिकेशन रजिस्टर करते हैं और रेडिरेक्ट URI को अपनी इंफ्रास्ट्रक्चर से जोड़ देते हैं। जब यूजर लॉगिन प्रक्रिया शुरू करता है, तो सिस्टम एरर पैरामीटर के कारण उसे सीधे हमलावर के सर्वर पर भेज देता है। रिपोर्ट में बताया गया है कि कुछ अभियानों में पीड़ितों को “मैन-इन-द-मिडिल” प्रकार के फिशिंग फ्रेमवर्क की ओर रीडायरेक्ट किया गया, जिसमें सेशन कुकी चोरी कर मल्टी-फैक्टर ऑथेंटिकेशन (MFA) सुरक्षा को भी बायपास करने की कोशिश की गई।
मालवेयर डिलीवरी चेन
साइबर शोधकर्ताओं ने यह भी पाया कि हमलावर ‘state’ पैरामीटर का दुरुपयोग कर पीड़ित का ईमेल पता पहले से ही फिशिंग पेज के क्रेडेंशियल बॉक्स में भर देते हैं। एक अन्य हमले के तरीके में यूजर्स को डाउनलोड पथ की ओर रीडायरेक्ट किया जाता है, जहां ZIP फाइल के रूप में मालवेयर भेजा जाता है। इस फाइल में Windows शॉर्टकट (.LNK) और HTML स्मगलिंग टूल्स शामिल पाए गए हैं।
DLL साइड-लोडिंग हमला
जैसे ही पीड़ित LNK फाइल खोलता है, PowerShell स्क्रिप्ट सक्रिय होकर सिस्टम की प्रारंभिक जानकारी एकत्र करना शुरू कर देती है। विशेषज्ञों ने बताया कि आगे के चरण में DLL साइड-लोडिंग तकनीक का उपयोग किया जाता है। इसमें एक दुर्भावनापूर्ण DLL फाइल सिस्टम मेमोरी में मालवेयर को डिक्रिप्ट और लोड करती है, जबकि एक वैध दिखने वाला प्रोग्राम बैकग्राउंड में चलता रहता है ताकि संदेह न हो।
सुरक्षा सुझाव
शोध रिपोर्ट के अनुसार साइबर अपराधी गलत OAuth पैरामीटर जैसे scope या prompt=none का इस्तेमाल कर एरर-आधारित रेडिरेक्शन ट्रिगर कर रहे हैं। कंपनी ने संगठनों को सलाह दी है कि वे OAuth एप्लिकेशन की अनुमति को सीमित करें और मजबूत पहचान सुरक्षा नीति लागू करें। सुरक्षा विशेषज्ञों का कहना है कि इस प्रकार के हमले मुख्य रूप से पहचान-आधारित खतरों की श्रेणी में आते हैं, रिपोर्ट में चेतावनी दी गई है कि साइबर अपराधी लगातार नई तकनीकों का इस्तेमाल कर रहे हैं।
