साइबर ठगों के हथियार 7️⃣ CAPTCHA पर टिक और हुआ साइबर अटैक

 

साइबर अपराधियों ने साइबर हमले का अब एक नया माध्यम तैयार किया है -"कैप्चा कोड" और इसमें उनकी मदद कर रहा है AI जिसके लिए AI फिशिंग साइट्स तैयार कर रहा है, इसलिए अब सतर्कता की और बहुत ज्यादा जरुरत है.

साइबर ठगी के इन नये तरीकों में AI की मदद से फिशिंग हमले किये जा रहे हैँ, जिसके लिए नकली कैप्चा पेज बनाया जाता है जिससे यूज़र्स धोखे में आ जाते हैँ. ये कैप्चा पेज असली जैसे लगने के कारण सुरक्षा सॉफ्टवेयर तक को चकमा दे देते हैं। Trend Micro की रिपोर्ट के मुताबिक, जनवरी से ऐसे पेज Vercel, Netlify और Lovable जैसे प्लेटफॉर्म्स पर बनाए जा रहे हैं और अगस्त में इन हमलों में तेजी आई है। ये प्लेटफॉर्म आसान कोडिंग और फ्री होस्टिंग की सुविधा देते हैं, जिसका अपराधी फायदा उठा रहे हैं।

➡️ Trend Micro report संक्षेप में-

( 19 मई 2025)

🌑 नकली कैप्चा हमले मल्टीस्टेज पेलोड श्रृंखला में इन्फोस्टीलर्स और आरएटी तैनात करते हैं

🌑 हमने नकली कैप्चा पेजों से जुड़ी एक नई रणनीति का पता लगाया है जो विंडोज़ में उपयोगकर्ताओं को हानिकारक कमांड निष्पादित करने के लिए प्रेरित करती है। यह योजना फ़िशिंग और अन्य दुर्भावनापूर्ण तरीकों से भेजी गई छिपी हुई फ़ाइलों का उपयोग करती है।

✒️ रिपोर्ट सारांश:

🌑 ट्रेंड™ रिसर्च ने नकली कैप्चा पेजों की एक लहर का पर्दाफ़ाश किया है जो उपयोगकर्ताओं को विंडोज़ रन डायलॉग में दुर्भावनापूर्ण कमांड पेस्ट करने के लिए प्रेरित करते हैं। इन अभियानों में अस्पष्ट जावास्क्रिप्ट के साथ एम्बेडेड उपयोग फ़ाइलें (जैसे, MP3, PDF) शामिल हैं, जो फ़िशिंग ईमेल, मैलवेयर विज्ञापन या SEO पॉइज़निंग के माध्यम से वितरित की जाती हैं। पेलोड को mshta.exe या PowerShell का उपयोग करके इन-मेमोरी में निष्पादित किया जाता है, अक्सर पारंपरिक फ़ाइल-आधारित पहचान को दरकिनार करते हुए।

🌑 ये हमले लुम्मा स्टीलर, रादामंथिस, एसिंकरैट, एम्मेनहटल और एक्सवर्म जैसे मैलवेयर के ज़रिए डेटा एक्सफ़िल्ट्रेशन, क्रेडेंशियल चोरी, रिमोट एक्सेस और लोडर डिप्लॉयमेंट को संभव बनाते हैं। व्यावसायिक जोखिमों में समझौता किए गए एंडपॉइंट, अनधिकृत डेटा एक्सेस और लगातार बैकडोर और C&C चैनलों के ज़रिए परिचालन में व्यवधान शामिल हैं।

🌑 न्यूनतम स्क्रिप्ट निष्पादन प्रतिबंधों वाले विंडोज-आधारित वातावरण संचालित करने वाले संगठन प्रभावित होते हैं। ये अभियान कई वैध प्लेटफ़ॉर्म का दुरुपयोग करते हैं, जिनमें फ़ाइल-शेयरिंग सेवाएँ, सामग्री और खोज प्लेटफ़ॉर्म, संगीत संग्रह, URL रीडायरेक्टर और दस्तावेज़ होस्ट शामिल हैं। ये हमले CAPTCHA इंटरफ़ेस और परिचित ब्रांडों में विश्वास का फायदा उठाते हैं।

🌑 रन डायलॉग और सार्वजनिक फ़ाइल-शेयरिंग प्लेटफ़ॉर्म तक पहुँच को अक्षम करने के साथ-साथ ब्राउज़र सेटिंग्स को सख्त करने से इस खतरे के जोखिम को काफ़ी हद तक कम किया जा सकता है। अतिरिक्त सर्वोत्तम प्रथाओं और Trend Micro समाधान इन हमलों से बचाव में कैसे मदद कर सकते हैं, इसके अवलोकन के लिए नीचे दिए गए शमन दिशानिर्देश देखें।

🌑 ट्रेंड विज़न वन™ इस ब्लॉग में चर्चा किए गए IOCs का पता लगाता है और उन्हें ब्लॉक करता है। ट्रेंड विज़न वन के ग्राहक इन हमलों के बारे में विस्तृत जानकारी और नवीनतम अपडेट प्राप्त करने के लिए हंटिंग क्वेरीज़, ख़तरे की जानकारी और ख़तरे की खुफिया रिपोर्ट तक भी पहुँच सकते हैं।

🌑 हमलावर पीड़ितों को नकली CAPTCHA लैंडिंग पेजों की ओर आकर्षित करने के लिए SEO पॉइज़निंग का भी इस्तेमाल करते हैं। एक मामले में, एक उपयोगकर्ता Google पर "लॉन्गलीट हाउस" खोज रहा था। Trend Vision One के फ़ोरेंसिक ऐप से ब्राउज़िंग इतिहास डेटा का उपयोग करके, हम सटीक खोज क्वेरी की पहचान करने में सक्षम हुए: "लॉन्गलीट हाउस एंट्रेंस"। जैसा कि चित्र 5 में दिखाया गया है, इस वाक्यांश को खोजने पर एक शीर्ष-रैंकिंग परिणाम मिला, एक समझौता की गई वैध वेबसाइट, जो एक नकली CAPTCHA लैंडिंग पेज पर ले जाती है।

🌑 साइट पर पहुँचने पर एक नकली CAPTCHA पेज खुलता है जो उपयोगकर्ताओं को रन डायलॉग बॉक्स में एक दुर्भावनापूर्ण, अस्पष्ट कमांड पेस्ट करने का निर्देश देता है। यह कमांड फिर एक रिमोट स्क्रिप्ट को सीधे मेमोरी में निष्पादित करता है।

🌑 ख़तरा खुफिया जानकारी ने hxxps://ernier[.]shop/lyricalsync[.]mp3 से जुड़े कई रेफ़रर URL की पहचान की। इन URL पर जाने पर लैंडिंग पेज एक नकली CAPTCHA प्रदर्शित करते हैं जो उपयोगकर्ताओं को रन डायलॉग में एक दुर्भावनापूर्ण कमांड कॉपी और पेस्ट करने का निर्देश देता है। हमारे द्वारा विश्लेषण किए गए अन्य मामलों में भी यह व्यवहार एक जैसा था। हालाँकि MP3 फ़ाइल को होस्ट करने वाले सटीक URL अलग-अलग हो सकते हैं, लेकिन प्रत्येक में एक रेफ़रर URL शामिल होता है जो अंततः उपयोगकर्ताओं को एक नकली CAPTCHA पृष्ठ पर रीडायरेक्ट करता है।

🌑 इनमें से किसी भी रेफरर URL पर जाने से उपयोगकर्ता को एक नकली CAPTCHA प्रॉम्प्ट पर रीडायरेक्ट कर दिया जाएगा, जिस पर अक्सर "सत्यापित करें कि आप मानव हैं" या "मैं रोबोट नहीं हूं" लिखा होता है।

🌑 जब उपयोगकर्ता "मैं रोबोट नहीं हूँ" पर क्लिक करता है, तो उसे अपनी मशीन पर दुर्भावनापूर्ण कोड कॉपी करके निष्पादित करने के लिए कहा जाता है।

➡️ AI टूल्स की मदद और फिशिंग साइट्स-

🌑 सीएसओ की एक रिपोर्ट बताती है कि 

"Lovable, Netlify और Vercel जैसे प्लेटफॉर्म वेबसाइट बनाने को आसान बनाते हैं। अपराधी इनका इस्तेमाल करके बिना ज्यादा तकनीकी ज्ञान के नकली कैप्चा पेज बना लेते हैं। Lovable पर 'वाइब कोडिंग' से फर्जी पेज बनाए जाते हैं, जबकि Vercel और Netlify पर AI टूल्स की मदद से तेजी से फिशिंग साइट्स तैयार होती हैं।"

➡️ फिशिंग हमलों का पैटर्न-

ये फिशिंग हमले एक खास पैटर्न पर काम करते हैं। यूजर्स को स्पैम ईमेल मिलते हैं, जिनमें पासवर्ड रीसेट या एड्रेस चेंज जैसे जरूरी मैसेज होते हैं। इनमें दिए लिंक पर क्लिक करने से यूजर एक नकली कैप्चा पेज पर पहुंचता है, जो असली सिक्योरिटी चेक जैसा दिखता है। यूजर को लगता है कि वह एक सामान्य प्रक्रिया पूरी कर रहा है, जिससे उसका शक कम हो जाता है। कैप्चा पूरा करने के बाद यूजर को असली फिशिंग पेज पर ले जाया जाता है, जहां उसका पासवर्ड या दूसरी संवेदनशील जानकारी चुरा ली जाती है।

➡️ सिक्योरिटी टूल्स भी खा रहे धोखा-

नकली कैप्चा पेज की खास बात है कि यह ऑटोमेटेड सिक्योरिटी स्कैनर्स को धोखा दे देता है। स्कैनर को सिर्फ कैप्चा पेज दिखता है, न कि उसका असली फिशिंग फॉर्म। इससे साइट का फर्जी होना पकड़ में नहीं आता। Trend Micro ने Vercel.app पर 52, Lovable.app पर 43 और Netlify.app पर 3 ऐसी फर्जी साइट्स पकड़ी हैं। इनमें Lovable सबसे ज्यादा निशाने पर है, लेकिन Vercel पर भी कई फर्जी कैप्चा पेज मौजूद हैं।

हम लगातार आपके लिए नये नए साइबर अपराधों की जानकारी लेकर आ रहे हैँ और अगर आपको हमारे द्वारा दी गई जानकारियों से कोई भी फायदा नजर आता है तो हमारे उत्साहवर्धन हेतु हमारे ब्लॉग को फॉलो और चैनल को सब्सक्राइब कीजिये, पोस्ट को लाइक कीजिये और अपना अनुभव शेयर कीजिये ताकि अन्य लोग भी आपके अनुभव से लाभान्वित हों और साइबर अपराध के घेरे में न आएं.

सतर्क रहिये-सुरक्षित रहेंगे.

धन्यवाद 🙏

आभार 🙏👇

                 23 Sept 2025, 6:43 आम

प्रस्तुति 

शालिनी कौशिक 

एडवोकेट 

कैराना (शामली )