GHOSTpulse ম্যালওয়্যার

গুগল ক্রোম, মাইক্রোসফ্ট এজ, ব্রেভ, গ্রামারলি এবং সিসকো ওয়েবেক্সের মতো সুপরিচিত সফ্টওয়্যারগুলির জন্য জাল MSIX উইন্ডোজ অ্যাপ্লিকেশন প্যাকেজ ফাইলগুলির ব্যবহার জড়িত একটি গোপন সাইবার আক্রমণ অভিযান সনাক্ত করা হয়েছে৷ এই অনিরাপদ ফাইলগুলি GHOSTPULSE নামে একটি নতুন ধরণের ম্যালওয়্যার লোডার ছড়িয়ে দিতে ব্যবহার করা হচ্ছে৷

MSIX হল একটি Windows অ্যাপ্লিকেশন প্যাকেজ বিন্যাস যা ডেভেলপাররা Windows সিস্টেমে তাদের সফ্টওয়্যার প্যাকেজ, বিতরণ এবং ইনস্টল করার জন্য নিয়োগ করতে পারে। যাইহোক, এটা মনে রাখা গুরুত্বপূর্ণ যে MSIX ফাইলগুলি তৈরি এবং ব্যবহার করার জন্য বৈধভাবে প্রাপ্ত বা অবৈধভাবে অর্জিত কোড সাইনিং শংসাপত্রগুলিতে অ্যাক্সেসের প্রয়োজন হয়, এই পদ্ধতিটি বিশেষভাবে ভাল-তহবিলযুক্ত এবং সম্পদশালী হ্যাকার গ্রুপগুলির কাছে আকর্ষণীয় করে তোলে৷

আক্রমণকারীরা GHOSTPULSE ম্যালওয়্যার সরবরাহ করার জন্য বিভিন্ন প্রলোভন কৌশল ব্যবহার করে

এই স্কিমে ব্যবহৃত টোপ ইনস্টলারদের উপর ভিত্তি করে, সন্দেহ করা হয় যে সম্ভাব্য ভুক্তভোগীরা MSIX প্যাকেজগুলিকে আপস করা ওয়েবসাইট, সার্চ ইঞ্জিন অপ্টিমাইজেশান (SEO) বিষক্রিয়া, বা প্রতারণামূলক বিজ্ঞাপন (মালভার্টাইজিং) সহ সুপরিচিত কৌশলগুলি ব্যবহার করে MSIX প্যাকেজগুলি ডাউনলোড করার জন্য বিভ্রান্ত হয়েছেন৷

যখন MSIX ফাইলটি কার্যকর করা হয়, তখন একটি উইন্ডোজ প্রম্পট উপস্থিত হয়, যা ব্যবহারকারীদের 'ইনস্টল' বোতামে ক্লিক করার জন্য অনুরোধ করে। এটি করার পরে, GHOSTPULSE একটি PowerShell স্ক্রিপ্টের মাধ্যমে একটি দূরবর্তী সার্ভার (বিশেষত, 'manojsinghnegi[.]com') থেকে আপস করা হোস্টে চুপচাপ ডাউনলোড করা হয়।

এই প্রক্রিয়াটি একাধিক ধাপে উন্মোচিত হয়, প্রাথমিক পেলোডটি একটি TAR সংরক্ষণাগার ফাইল। এই আর্কাইভটিতে একটি এক্সিকিউটেবল রয়েছে যা Oracle VM VirtualBox পরিষেবা (VBoxSVC.exe) হিসাবে প্রকাশ করে, কিন্তু বাস্তবে, এটি নোটপ্যাড++ (gup.exe) এর সাথে বান্ডেল করা একটি বৈধ বাইনারি।

উপরন্তু, TAR সংরক্ষণাগারের মধ্যে, handoff.wav নামে একটি ফাইল এবং libcurl.dll এর একটি ট্রোজানাইজড সংস্করণ রয়েছে। এই পরিবর্তিত libcurl.dll ডিএলএল সাইড-লোডিংয়ের মাধ্যমে gup.exe-এর একটি দুর্বলতাকে কাজে লাগিয়ে সংক্রমণ প্রক্রিয়াকে পরবর্তী পর্যায়ে অগ্রসর করার জন্য লোড করা হয়েছে।

GHOSTPULSE ম্যালওয়্যার সংক্রমণ শৃঙ্খলে জড়িত একাধিক, ক্ষতিকারক কৌশল

PowerShell স্ক্রিপ্ট বাইনারি VBoxSVC.exe-এর সম্পাদন শুরু করে, যা, বর্তমান ডিরেক্টরি থেকে দূষিত DLL libcurl.dll লোড করার মাধ্যমে DLL সাইড-লোডিং-এ জড়িত। এই পদ্ধতিটি হুমকি অভিনেতাকে এনক্রিপ্ট করা দূষিত কোডের অন-ডিস্ক উপস্থিতি হ্রাস করার অনুমতি দেয়, যা তাদেরকে ফাইল-ভিত্তিক অ্যান্টিভাইরাস এবং মেশিন লার্নিং স্ক্যানিং দ্বারা সনাক্তকরণ এড়াতে সক্ষম করে।

এটি অনুসরণ করে, হেরফের করা DLL ফাইল handoff.wav বিশ্লেষণ করে এগিয়ে যায়। এই অডিও ফাইলের মধ্যে, একটি এনক্রিপ্ট করা পেলোড লুকিয়ে রাখা হয়, যা পরবর্তীতে mshtml.dll-এর মাধ্যমে ডিকোড এবং কার্যকর করা হয়। মডিউল স্টম্পিং নামে পরিচিত এই কৌশলটি শেষ পর্যন্ত GHOSTPULSE চালু করতে ব্যবহৃত হয়।

GHOSTPULSE একটি লোডার হিসাবে কাজ করে এবং ম্যালওয়্যারের চূড়ান্ত সেটটি কার্যকর করার জন্য প্রসেস ডপেলগ্যাংগিং নামে আরেকটি কৌশল নিযুক্ত করে, যার মধ্যে রয়েছে SectopRAT , Rhadamanthys , Vidar, Lumma এবং NetSupport RAT ।

ম্যালওয়্যার আক্রমণের শিকারদের পরিণতি গুরুতর হতে পারে

রিমোট অ্যাকসেস ট্রোজান (RAT) সংক্রমণ ব্যবহারকারীদের ডিভাইসে বেশ কিছু মারাত্মক পরিণতি ডেকে আনে, যা এটিকে সবচেয়ে বিপজ্জনক ধরনের ম্যালওয়্যারগুলির মধ্যে একটি করে তোলে৷ প্রথমত, একটি RAT দূষিত অভিনেতাদের অননুমোদিত অ্যাক্সেস এবং নিয়ন্ত্রণ মঞ্জুর করে, তাদের সংক্রামিত ডিভাইস থেকে গোপনে পর্যবেক্ষণ, ম্যানিপুলেট এবং সংবেদনশীল তথ্য চুরি করার অনুমতি দেয়। এর মধ্যে ব্যক্তিগত ফাইল, লগইন শংসাপত্র, আর্থিক ডেটা এবং এমনকি কীস্ট্রোকগুলি নিরীক্ষণ এবং রেকর্ড করার ক্ষমতা অন্তর্ভুক্ত রয়েছে, এটি পরিচয় চুরি এবং গুপ্তচরবৃত্তির জন্য একটি শক্তিশালী হাতিয়ার করে তোলে। এই ক্রিয়াকলাপগুলি আর্থিক ক্ষতি, গোপনীয়তা লঙ্ঘন এবং ব্যক্তিগত এবং পেশাদার ডেটার আপস হতে পারে।

উপরন্তু, RAT সংক্রমণ ব্যবহারকারীর গোপনীয়তা এবং নিরাপত্তার উপর বিধ্বংসী প্রভাব ফেলতে পারে। জালিয়াতি-সম্পর্কিত অভিনেতারা ওয়েবক্যাম এবং মাইক্রোফোন চালু করতে RATs ব্যবহার করতে পারে, কার্যকরভাবে তাদের নিজের বাড়িতে শিকারদের উপর গুপ্তচরবৃত্তি করতে পারে। ব্যক্তিগত স্থানগুলিতে এই অনুপ্রবেশ শুধুমাত্র গোপনীয়তা লঙ্ঘন করে না বরং ব্ল্যাকমেল বা আপোষমূলক সামগ্রী বিতরণের দিকে পরিচালিত করতে পারে। উপরন্তু, RATs ব্যবহার করা যেতে পারে সংক্রামিত ডিভাইসগুলিকে একটি বটনেটের অংশে পরিণত করতে, যা বড় আকারের সাইবার আক্রমণ শুরু করতে পারে, অন্যান্য সিস্টেমে ম্যালওয়্যার বিতরণ করতে পারে বা আক্রমণকারীর পক্ষে অপরাধমূলক কার্যকলাপ চালাতে পারে। শেষ পর্যন্ত, RAT সংক্রমণ ডিজিটাল পরিবেশে আস্থা নষ্ট করে, ব্যক্তিগত নিরাপত্তা নষ্ট করে এবং ব্যক্তি, ব্যবসা এবং এমনকি দেশগুলির জন্য দীর্ঘস্থায়ী, গুরুতর পরিণতি হতে পারে।