Bing खोज में "KakaoTalk" के शीर्ष 3 परिणाम सभी चीन-आधारित फ़िशिंग निकले

Bing खोज में "KakaoTalk" के शीर्ष 3 परिणाम सभी चीन-आधारित फ़िशिंग निकले

Bing में "KakaoTalk" खोजने पर शीर्ष 3 परिणाम (apps-kakaocorp[.]com, apps-kakaotalk[.]com, pc-kakaotalk[.]com) सभी फ़िशिंग थे। इन्फ्रास्ट्रक्चर और कोड के विश्लेषण के नतीजे:

• फ़िल्टरिंग: Referer+UA न होने पर 500/403 लौटाता है (सीधी विज़िट/ऑटोमेटेड स्कैनर से बचाव)
• चीनी इन्फ्रास्ट्रक्चर: Tencent/DNSpod रजिस्ट्रेशन, 51.la analytics, og:locale=zh-cn, चीनी Telegram अकाउंट से जुड़ाव
• रजिस्ट्रेशन: 3 डोमेन 1 सेकंड के अंतराल पर बैच में रजिस्टर, एक ही /24 subnet, TLS एक ही दिन जारी
• मैलवेयर: .scr के रूप में छिपा NSIS installer → admin permissions का अनुरोध → DcryptDll.dll से payload decrypt → AppData में drop
• डिस्ट्रिब्यूशन: तीनों डोमेन एक ही Cloudflare CDN URL पर redirect करते हैं (download.i96l6[.]top, Alibaba Cloud)

जबकि असली KakaoTalk आधिकारिक साइट चौथे स्थान पर धकेल दी गई थी। Edge का डिफ़ॉल्ट search engine Bing होने के कारण, जिन उपयोगकर्ताओं ने सेटिंग नहीं बदली है उनके लिए यह काफ़ी बड़ा ख़तरा है।

विस्तृत विवरण

डिटेक्शन से बचने की संरचना काफ़ी परिष्कृत है। फ़िशिंग पेज केवल उन्हीं उपयोगकर्ताओं को दिखाया जाता है जो search engine results के माध्यम से आते हैं, जबकि URL को सीधे खोलने या ऑटोमेटेड स्कैनर के लिए खाली पेज लौटाया जाता है। इस वजह से urlscan.io जैसी सार्वजनिक विश्लेषण सेवाओं में भी इसका पता नहीं चलता, और यदि कोई उपयोगकर्ता शक होने पर URL सीधे जांचे तो उसे कुछ दिखाई नहीं देता, जिससे रिपोर्ट तक पहुंचना कठिन हो जाता है।

हमलावर की पहचान तुलनात्मक रूप से आसान है। सोर्स कोड में 51.la (चीनी web analytics) tracking code, og:locale=zh-cn, /wenzhang/ (文章) path, hardcoded Telegram contact जैसी कई ऐसी indicators मौजूद हैं जो चीनी स्रोत की ओर इशारा करते हैं। डोमेन रजिस्ट्रेशन Tencent/DNSpod पर है, और CDN Alibaba Cloud के ज़रिये इस्तेमाल किया गया है।

तीनों डोमेन वास्तव में एक ही operation का हिस्सा हैं। Registry Domain ID क्रमिक हैं, 1 सेकंड के अंतराल पर बैच रजिस्ट्रेशन हुआ, एक ही /24 subnet, एक जैसी filtering logic, और एक ही download URL इस्तेमाल हुआ। SEO diversity सुनिश्चित करने के लिए केवल metadata बदले गए template structure (seo_templates/index/zd/kk_1/2/3/) का उपयोग किया गया।

डाउनलोड पाथ पर session gating लागू है। /download पेज खोलने पर PHPSESSID cookie जारी होती है, और /download.php कॉल करने पर 302 के जरिए बाहरी CDN (download.i96l6[.]top) पर redirect किया जाता है। cookie के बिना download.php को सीधे खोलने पर 500 लौटता है।

डिस्ट्रिब्यूट की गई फ़ाइल .scr (screensaver) extension वाला PE executable है। यह NSIS v3.07 installer है, जिसकी metadata को "Kakao Corp. / KakaoTalk Setup" के रूप में छिपाया गया है। यह admin permissions मांगता है, और इसके भीतर runtime decryption DLL (DcryptDll.dll) तथा WPS Office (Kingsoft) components bundled हैं। यह तरीका वैध software और malicious payload को एक साथ install करके उपयोगकर्ता के संदेह को कम करता है।