MadMxShell ব্যাকডোর

একটি Google ম্যালভার্টাইজিং স্কিম ওয়েবসাইটগুলির একটি গোষ্ঠী ব্যবহার করছে যা MadMxShell নামক একটি নতুন আবিষ্কৃত ব্যাকডোর বিতরণ করতে বৈধ IP স্ক্যানার সফ্টওয়্যার অনুকরণ করে৷ আক্রমণকারীরা টাইপোসক্যাটিং-এর মাধ্যমে অসংখ্য একই রকমের ডোমেন নিবন্ধন করেছে এবং অনুসন্ধান ফলাফলে এই সাইটগুলিকে বুস্ট করতে Google বিজ্ঞাপন ব্যবহার করছে, সন্দেহাতীত দর্শকদের আকৃষ্ট করার জন্য নির্দিষ্ট কীওয়ার্ডকে লক্ষ্য করে।

নভেম্বর 2023 এবং মার্চ 2024 এর মধ্যে, প্রায় 45টি ডোমেন নিবন্ধিত হয়েছিল, যা বিভিন্ন পোর্ট স্ক্যানিং এবং অ্যাডভান্সড আইপি স্ক্যানার, অ্যাংরি আইপি স্ক্যানার, আইপি স্ক্যানার পিআরটিজি এবং ম্যানেজ ইঞ্জিনের মতো আইটি ম্যানেজমেন্ট সফ্টওয়্যার হওয়ার ভান করে।

জাল ওয়েবসাইটের মাধ্যমে ম্যালওয়্যার বিতরণ করার জন্য আগেও ম্যালভার্টাইজিং কৌশল ব্যবহার করা হয়েছে, এই ঘটনাটি একটি জটিল উইন্ডোজ ব্যাকডোর ছড়িয়ে দেওয়ার জন্য এই ধরনের পদ্ধতি ব্যবহার করার প্রথম উদাহরণ চিহ্নিত করে৷

শক্তিশালী ব্যাকডোর ম্যালওয়্যার ডেলিভার করার জন্য জাল ওয়েবসাইট দিয়ে ব্যবহারকারীদের প্রলুব্ধ করার হুমকি অভিনেতারা

যে ব্যবহারকারীরা এই টুলগুলির জন্য অনুসন্ধান করে তাদের জাভাস্ক্রিপ্ট কোড সম্বলিত প্রতারণামূলক ওয়েবসাইটগুলিতে পরিচালিত হয় যা ডাউনলোড বোতামটি ক্লিক করার সময় 'Advanced-ip-scanner.zip' নামে একটি দূষিত ফাইলের ডাউনলোডকে ট্রিগার করে৷

জিপ সংরক্ষণাগারের মধ্যে, দুটি ফাইল রয়েছে: 'IVIEWERS.dll' এবং 'Advanced-ip-scanner.exe।' পরবর্তীটি 'IVIEWERS.dll' লোড করতে এবং সংক্রমণ প্রক্রিয়া শুরু করতে DLL সাইড-লোডিং ব্যবহার করে।

DLL ফাইল প্রসেস হোলোয়িং নামক একটি কৌশল ব্যবহার করে 'Advanced-ip-scanner.exe' প্রক্রিয়ার মধ্যে এমবেডেড শেলকোড ইনজেক্ট করে। পরে, ইনজেকশন করা EXE ফাইল দুটি অতিরিক্ত ফাইল আনপ্যাক করে - 'OneDrive.exe' এবং 'Secur32.dll'।

বৈধ স্বাক্ষরিত মাইক্রোসফ্ট বাইনারি 'OneDrive.exe' ব্যবহার করে 'Secur32.dll' লোড করা হয় এবং শেলকোড ব্যাকডোর চালানো হয়। আগেই, ম্যালওয়্যারটি একটি নির্ধারিত টাস্ক তৈরি করে এবং মাইক্রোসফ্ট ডিফেন্ডার অ্যান্টিভাইরাস অক্ষম করে হোস্টের উপর অধ্যবসায় স্থাপন করে।

MadMxShell ব্যাকডোর অসংখ্য হুমকিমূলক কর্ম সম্পাদন করে

কমান্ড-এন্ড-কন্ট্রোল (C2) এর জন্য DNS MX প্রশ্নগুলির ব্যবহারের জন্য নামকরণ করা হয়েছে, MadMxShell ব্যাকডোরটি সিস্টেম ডেটা সংগ্রহ করতে, cmd.exe এর মাধ্যমে কমান্ড কার্যকর করতে এবং ফাইল পড়া, লেখা এবং মুছে ফেলার মতো মৌলিক ফাইল অপারেশন পরিচালনা করার জন্য ইঞ্জিনিয়ারড।

এর C2 সার্ভারের ('litterbolo.com') সাথে যোগাযোগ করতে, এটি DNS মেল এক্সচেঞ্জ (MX) ক্যোয়ারী প্যাকেটগুলিতে সম্পূর্ণ যোগ্য ডোমেন নাম (FQDN) এর সাবডোমেনের মধ্যে ডেটা এনকোড করে এবং প্রতিক্রিয়া প্যাকেটে এমবেড করা ডিসিফার কমান্ডগুলি।

C2 কমিউনিকেশনের জন্য মাল্টি-স্টেজ DLL সাইড-লোডিং এবং DNS টানেলিং-এর মতো কৌশল ব্যবহার করা, ব্যাকডোরের লক্ষ্য হল এন্ডপয়েন্ট এবং নেটওয়ার্ক নিরাপত্তা ব্যবস্থা এড়ানো। উপরন্তু, এটি মেমরি বিশ্লেষণ এবং ফরেনসিক নিরাপত্তা ব্যবস্থা বাধাগ্রস্ত করতে এন্টি-ডাম্পিং-এর মতো ফাঁকি দেওয়ার পদ্ধতি ব্যবহার করে।

MadMxShell ব্যাকডোরের পিছনে হুমকি অভিনেতা অজানা লক্ষ্য আছে

বর্তমানে ম্যালওয়্যার অপারেটরদের উৎপত্তি বা উদ্দেশ্য সম্পর্কে কোন সুনির্দিষ্ট সূত্র নেই। যাইহোক, গবেষকরা অপরাধমূলক আন্ডারগ্রাউন্ড ফোরামে তাদের দ্বারা তৈরি দুটি অ্যাকাউন্ট উন্মোচন করেছেন। বিশেষত, এই অভিনেতাদেরকে জুন 2023 সাল পর্যন্ত সীমাহীন Google AdSense থ্রেশহোল্ড অ্যাকাউন্ট স্থাপনের পদ্ধতি অফার করে আলোচনায় অংশগ্রহণ করতে দেখা গেছে, যা একটি টেকসই ম্যালভার্টাইজিং প্রচারাভিযান চালু করার ব্যাপারে গভীর আগ্রহের পরামর্শ দেয়।

Google Ads থ্রেশহোল্ডগুলিকে কাজে লাগানোর জন্য অ্যাকাউন্ট এবং কৌশলগুলি সাধারণত BlackHat ফোরামে বিনিময় করা হয়। এই পদ্ধতিগুলি প্রায়শই হুমকি অভিনেতাদের অবিলম্বে অর্থ প্রদান ছাড়াই Google বিজ্ঞাপন প্রচার চালানোর জন্য ক্রেডিট জমা করার একটি উপায় প্রদান করে, কার্যকরভাবে তাদের প্রচারের সময়কাল প্রসারিত করে। একটি পর্যাপ্ত উচ্চ থ্রেশহোল্ড হুমকি অভিনেতাদের একটি বর্ধিত সময়ের জন্য তাদের বিজ্ঞাপন প্রচারগুলি বজায় রাখতে সক্ষম করে।