एक ईमेल ने मुझे इस समय के सबसे बड़े फ़िशिंग अभियानों में से एक की जांच करने के लिए प्रेरित किया!

एक ईमेल ने मुझे इस समय के सबसे बड़े फ़िशिंग अभियानों में से एक की जांच करने के लिए प्रेरित किया!

05/02/2026

लेखक: जुआन मैथ्यूज रेबेलो सैंटोस

1. कार्यकारी सारांश

यह तकनीकी रिपोर्ट कथित पुरस्कार अधिसूचना और लंबित वित्तीय जमा वाली एक धोखाधड़ी ईमेल प्राप्त होने पर मेरे द्वारा की गई फोरेंसिक जांच का दस्तावेजीकरण करती है। विश्लेषण से अंतरराष्ट्रीय स्तर पर फ़िशिंग, स्केयरवेयर और संबद्ध धोखाधड़ी अभियान संचालित करने वाले एक परिष्कृत साइबर आपराधिक बुनियादी ढांचे का पता चला।

जांच के दौरान, मैंने रीडायरेक्ट की एक श्रृंखला की पहचान की जिसमें शामिल हैं:

  • सोशल इंजीनियरिंग के साथ इलेक्ट्रॉनिक स्पैम;
  • क्लाउडफ्लेयर पेज इंफ्रास्ट्रक्चर का दुरुपयोग; *कांगो लोकतांत्रिक गणराज्य में सरकारी कर्मचारियों की प्रतिबद्धता;
  • कमान और नियंत्रण अवसंरचना (सी2);
  • डोमेन जनरेशन एल्गोरिदम (डीजीए) का उपयोग;
  • वाइल्डकार्ड एसएसएल प्रमाणपत्र;
  • और इम्पैक्ट रेडियस के माध्यम से नॉर्टन/जेन डिजिटल सहबद्ध कार्यक्रमों के माध्यम से मुद्रीकरण।

यह ऑपरेशन उच्च स्तर की तकनीकी व्यावसायिकता, विश्लेषण विरोधी चोरी और दुर्भावनापूर्ण अभियानों के स्वचालन को प्रदर्शित करता है।

2. जांच की उत्पत्ति

जांच तब शुरू हुई जब मुझे इस पते पर स्पष्ट रूप से जाली ईमेल भेजा गया:

```पाठ [email protected]


संदेश का विषय था:

```पाठ
पुरस्कार कोड

ईमेल की सामग्री में अरबी पाठ को वित्तीय तात्कालिकता के संदेशों के साथ मिश्रित किया गया था, एक रणनीति जिसका उपयोग एंटी-स्पैम फ़िल्टर में बाधा डालने और वैधता की उपस्थिति को बढ़ाने के लिए किया गया था।

पहचाना गया अंश:

```पाठ شكراً على مشاركتك في المسابقة और पढ़ें


अनुमानित अनुवाद:

```पाठ
“प्रतियोगिता में भाग लेने के लिए धन्यवाद।
कृपया ड्रा के दौरान सत्यापन के लिए कोड अपने पास रखें।”

संदेश में एक कथित प्रचार कोड भी शामिल था:

```पाठ कोड: 9132289937520370


हालाँकि, ईमेल का वास्तविक उद्देश्य उपयोगकर्ता को संदेश के बीच में डाले गए एक दुर्भावनापूर्ण लिंक पर क्लिक करने के लिए प्रेरित करना था:

```पाठ
⚠️ अत्यावश्यक: आपकी $3,639.00 जमा राशि रुकी हुई है। अभी पुष्टि करें:
https://obs.regideso.cd/?8nqrpm

वैयक्तिकरण और वैधता की भावना जोड़ने के लिए सामग्री में मेरा ईमेल पता भी प्रदर्शित किया गया:

```पाठ [email protected]


विश्लेषण से पता चला कि ईमेल को संयोजित करने के लिए बनाया गया था:

* नकली पुरस्कार;
* वित्तीय तात्कालिकता;
* विदेशी भाषा;
* सोशल इंजीनियरिंग;
* और घोटाले को आंशिक रूप से छुपाया गया।

इसका उद्देश्य पीड़ित को तुरंत क्लिक करने के लिए प्रेरित करना था।

---

#3. दुर्भावनापूर्ण पुनर्निर्देशन श्रृंखला

लिंक तक पहुँचने पर:

```पाठ
https://obs.regideso.cd/?8nqrpm

मैंने पहचाना कि डोमेन केवल ऑपरेशन के भीतर एक मध्यवर्ती रिले के रूप में कार्य करता है।

जांच के दौरान देखा गया पूरा प्रवाह इस प्रकार था:

```पाठ ईमेल स्पैम ↓ obs.regideso.cd ↓ लिनेन-व्हार्फ-रिवर.पेजेज.देव ↓ Yandehyto.com के यादृच्छिक उपडोमेन ↓ स्केयरवेयर/फ़िशिंग अंतिम डोमेन


पहचाने गए अंतिम गंतव्यों में ये थे:

* `पेलनोरिवा.शॉप`
* `baleiddiste.com`
* `phidatharacce.com`

यह आर्किटेक्चर बुनियादी ढांचे के अस्पष्टीकरण की एक पेशेवर श्रृंखला को प्रदर्शित करता है, जिससे ट्रैकिंग, स्वचालित अवरोधन और फोरेंसिक विश्लेषण कठिन हो जाता है।

---

#4. प्रतिबद्ध रिले विश्लेषण

डोमेन:

```पाठ
obs.regideso.cd

आईपी ​​को हल किया गया:

```पाठ 161.35.30.54


DigitalOcean इंफ्रास्ट्रक्चर पर होस्ट किया गया।

ऐसा प्रतीत होता है कि यह संपत्ति कांगो लोकतांत्रिक गणराज्य की सार्वजनिक जल आपूर्ति कंपनी की है:

* रेजिडेसो एसए

वेब वातावरण के विश्लेषण के दौरान, मैंने पहचाना:

* अनधिकृत PHP फ़ाइलें;
* पुनर्निर्देशक के रूप में कार्य करने वाली स्क्रिप्ट;
* लारवेल पर्यावरण जोखिम;
* बैकएंड डिबग मोड में काम कर रहा है।

देखी गई फ़ाइलें:

* `info.php`
* `index.php`

पूर्ण आंतरिक सर्वर पथ भी उजागर हुए:

```पाठ
सी:\एपीआई-फैक्टर\एपीआई-फैक्टर\

इस जानकारी के उजागर होने से लारवेल ढांचे की गंभीर सख्त खामियों और असुरक्षित कॉन्फ़िगरेशन की पुष्टि होती है।

5. कमांड और कंट्रोल इंफ्रास्ट्रक्चर (C2)

ऑपरेशन का मूल एक सर्वर पर केंद्रीकृत था जो इस प्रकार काम कर रहा था:

  • केंद्रीय पुनर्निर्देशक;
  • ट्रैकर पर क्लिक करें;
  • मुद्रीकरण प्रवेश द्वार;
  • और अभियान नियंत्रक।

समापन बिंदु की पहचान की गई:

```पाठ /क्लिक.php


---

# 6. चोरी की तकनीक

## 6.1 विश्लेषण के विरुद्ध आवरण डालना

मैंने पहचाना कि सर्वर ने इसके विरुद्ध सक्रिय क्लोकिंग लागू की है:

* शोधकर्ता;
* स्वचालित स्कैनर;
* डेटासेंटर आईपी;
* `कर्ल` और `नमैप` जैसे उपकरण।

जब उसे एक संदिग्ध वातावरण का पता चला, तो सर्वर ने जवाब दिया:

```http
HTTP/1.1 302मिला
स्थान: http://yahoo.com/

या:

स्थान: http://google.com/

यह तकनीक सुरक्षा प्रणालियों के लिए दुर्भावनापूर्ण लैंडिंग पृष्ठ के जोखिम को काफी कम कर देती है।

6.2 डीजीए और वाइल्डकार्ड डीएनएस

जांच के दौरान, मैंने डोमेन में वाइल्डकार्ड डीएनएस के व्यापक उपयोग की पहचान की:

```पाठ yandehyto.com


किसी भी यादृच्छिक उपडोमेन को C2 सर्वर पर सही ढंग से हल किया गया।

पहचाने गए उदाहरण:

* `q5tzrz.yandehyto.com`
* `sj9k9f.yandehyto.com`
* `whonou.yandehyto.com`

यह तकनीक नए डोमेन को पंजीकृत करने की आवश्यकता के बिना यूआरएल के अनंत रोटेशन की अनुमति देती है।

---

## 6.3 वाइल्डकार्ड एसएसएल प्रमाणपत्र

ऑपरेटर ने लेट्स एनक्रिप्ट द्वारा जारी वैध वाइल्डकार्ड प्रमाणपत्रों का उपयोग किया:

```पाठ
*.yandehyto.com

इसने सभी गतिशील रूप से उत्पन्न उपडोमेन के लिए वैध HTTPS की अनुमति दी, जिससे घोटाले की विश्वसनीयता बढ़ गई।

7. पेलोड स्केयरवेयर विश्लेषण

रीडायरेक्ट के बाद, पीड़ित को यहां होस्ट किए गए पेजों पर रीडायरेक्ट किया गया:

  • पेलनोरिवा.शॉप
  • baleiddiste.com
  • phidatharacce.com

ये पृष्ठ निम्न के इंटरफ़ेस का अनुकरण करते हुए दुर्भावनापूर्ण जावास्क्रिप्ट चलाते हैं:

  • मैक्एफ़ी टोटल प्रोटेक्शन

कोड में निम्नलिखित कार्य शामिल थे:

```जावास्क्रिप्ट प्रारंभ_सर्कलप्रगति()


जिसने नकली एंटीवायरस स्कैन का अनुकरण किया और अस्तित्वहीन खतरों को प्रदर्शित किया:

* `Win32/Hoax.Renos.HX`
* `ट्रोजन आईआरसी/बैकडोर.एसडी.एफआरवी`

मैंने यह भी पहचाना:

* फुलस्क्रीन एपीआई का उपयोग;
* नेविगेशन अवरोधन;
* टैब फोकस कैप्चर;
* `onbeforeunload` का अवरोधन।

इसका उद्देश्य पीड़ित को तुरंत एंटीवायरस खरीदने के लिए प्रेरित करने के लिए मनोवैज्ञानिक दबाव उत्पन्न करना था।

---

# 8. सहयोगी धोखाधड़ी

अंतिम मुद्रीकरण वैध पृष्ठों पर रीडायरेक्ट के माध्यम से हुआ:

*नॉर्टनलाइफलॉक
*जनरल डिजिटल

अभियान ने संबद्ध मंच का दुरुपयोग किया:

* प्रभाव त्रिज्या

पहचानकर्ता मिले:

```पाठ
पार्टनर आईडी: 3076190
अभियान आईडी: 4405

ऑपरेटिंग मॉडल ने स्केयरवेयर से प्रेरित डर को वित्तीय कमीशन में बदल दिया।

9. फोरेंसिक साक्ष्य

HTTP पुनर्निर्देशन

HTTP/1.1 302 मिला
सर्वर: nginx/1.28.0
दिनांक: शुक्र, 01 मई 2026 20:12:37 GMT
स्थान: https://sj9k9f.yandehyto.com/click.php?lp=1&uclick=d7qg...

क्लोकिंग का पता लगाना:

```पाठ [डिटेक्शन ट्रिगर] -> http://yahoo.com/ पर रीडायरेक्ट करें


---

## एसएसएल प्रमाणपत्र

```पाठ
गहराई=0 सीएन = yandehyto.com

X509v3 विषय वैकल्पिक नाम:
DNS:*.yandehyto.com
DNS:yandehyto.com

जारीकर्ता:
सी = यूएस
ओ = आइए एन्क्रिप्ट करें
सीएन = ई7

10. प्रतिबद्धता के संकेतक (आईओसी)

आईपी

  • 161.35.30.54

डोमेन

  • smilingtooth.com.sa
  • obs.regideso.cd
  • लिनेन-व्हार्फ-रिवर.पेजेज.देव
  • yadehyto.com
  • baleiddiste.com
  • phidatharacce.com
  • पेलनोरिवा.शॉप
  • pelnoriva.pelnoriva.shop

डीजीए उपडोमेन

  • q5tzrz.yandehyto.com
  • sj9k9f.yandehyto.com
  • whonou.yandehyto.com

संबद्ध आईडी

पाठ इम्पैक्ट रेडियस पार्टनर आईडी: 3076190 अभियान आईडी: 4405

11. निष्कर्ष

की गई संपूर्ण जांच के आधार पर, मैंने निष्कर्ष निकाला कि विश्लेषण किया गया अभियान एक उच्च पेशेवर साइबर आपराधिक ऑपरेशन का प्रतिनिधित्व करता है, जिसका उपयोग किया जाता है:

  • फ़िशिंग;
  • स्केयरवेयर;
  • आवरण;
  • डीजीए;
  • वैध बुनियादी ढांचे का दुरुपयोग;
  • संबद्ध धोखाधड़ी;
  • और तीसरे पक्ष के सर्वर से समझौता किया गया।

यह ऑपरेशन मजबूत तकनीकी क्षमता प्रदर्शित करता है:

  • विश्लेषण विरोधी चोरी;
  • सोशल इंजीनियरिंग;
  • कपटपूर्ण मुद्रीकरण;
  • अभियान स्वचालन;
  • और बुनियादी ढांचे को छिपाना।

12. यूआरएल के विश्वसनीय संदर्भ और विश्लेषण

नीचे वे लिंक दिए गए हैं जो ख़तरे की ख़ुफ़िया प्लेटफ़ॉर्म पर डोमेन और यूआरएल के विश्लेषण को साबित करते हैं।

वायरसटोटल

एलियनवॉल्ट ओटीएक्स

दुरुपयोगआईपीडीबी

सेंसिस

सिक्योरिटीट्रेल्स

urlscan.io

शोडान

ध्यान दें: दुर्भावनापूर्ण गतिविधियों और समझौते के संकेतकों की सूचना पहले ही उपयुक्त अधिकारियों को दी जा चुकी है।