RotBot ম্যালওয়্যার
ভিয়েতনাম থেকে উদ্ভূত একটি গোষ্ঠীকে অন্তত মে 2023 সাল থেকে মূল্যবান তথ্য আহরণের লক্ষ্যে হুমকি সফ্টওয়্যার দিয়ে বিভিন্ন এশিয়ান এবং দক্ষিণ-পূর্ব এশিয়ার দেশ জুড়ে ব্যক্তিদের লক্ষ্যবস্তু হিসাবে চিহ্নিত করা হয়েছে৷ CoralRaider নামে পরিচিত, সাইবার নিরাপত্তা বিশেষজ্ঞরা এই অপারেশনটিকে ঘনিষ্ঠভাবে পর্যবেক্ষণ করে, এর আর্থিক উদ্দেশ্যগুলি লক্ষ্য করে৷ প্রচারণার কেন্দ্রবিন্দুর মধ্যে রয়েছে ভারত, চীন, দক্ষিণ কোরিয়া, বাংলাদেশ, পাকিস্তান, ইন্দোনেশিয়া এবং ভিয়েতনাম।
এই সাইবার ক্রিমিনাল সিন্ডিকেট ব্যক্তিগত এবং ব্যবসায়িক উভয় অ্যাকাউন্টকে অন্তর্ভুক্ত করে শংসাপত্র, আর্থিক রেকর্ড এবং সোশ্যাল মিডিয়া প্রোফাইল চুরি করতে পারদর্শী। এই বিশেষ আক্রমণের জন্য তাদের অস্ত্রাগারের মধ্যে রয়েছে RotBot, Quasar RAT এর একটি কাস্টমাইজড সংস্করণ এবং XClient স্টিলার। অতিরিক্তভাবে, তারা আপোসকৃত সিস্টেমগুলি থেকে দূরবর্তী অ্যাক্সেস এবং সিফনিং তথ্য অর্জনের লক্ষ্যে AsyncRAT , NetSupport RAT এবং Rhadamanthys- এর মতো অফ-দ্য-শেল্ফ ম্যালওয়্যারগুলির একটি পরিসর স্থাপন করে৷
সুচিপত্র
সাইবার অপরাধীদের লক্ষ্য নির্বাচিত টার্গেট থেকে সংবেদনশীল তথ্য আপস করা
ভিয়েতনাম থেকে উদ্ভূত আক্রমণকারীরা ব্যবসায়িক এবং বিজ্ঞাপন অ্যাকাউন্টে অনুপ্রবেশের উপর একটি উল্লেখযোগ্য জোর দিয়েছে, পরবর্তী নগদীকরণের জন্য এই অ্যাকাউন্টগুলির নিয়ন্ত্রণ দখল করার জন্য ডাকটেল , নোডস্টিলার এবং ভিয়েটক্রেডকেয়ারের মতো বিভিন্ন ধরনের চুরিকারী ম্যালওয়্যার পরিবারকে নিয়োগ করেছে।
তাদের মোডাস অপারেন্ডিতে ক্ষতিগ্রস্তদের মেশিন থেকে চুরি করা তথ্য পাঠানোর জন্য টেলিগ্রামের ব্যবহার জড়িত, যা পরে বেআইনি মুনাফা অর্জনের জন্য গোপন বাজারে বিনিময় করা হয়।
প্রমাণ থেকে জানা যায় যে CoralRaider-এর অপারেটররা ভিয়েতনামে অবস্থিত, যেমনটি তাদের টেলিগ্রাম কমান্ড অ্যান্ড কন্ট্রোল (C2) বট চ্যানেলের অভিনেতাদের বার্তা দ্বারা নির্দেশিত হয়েছে, সেইসাথে তাদের বট, PDB স্ট্রিং এবং নামকরণের ক্ষেত্রে ভিয়েতনামী ভাষার প্রতি তাদের পছন্দ। অন্যান্য ভিয়েতনামী পদগুলি তাদের পেলোড বাইনারিগুলির মধ্যে হার্ডকোড করা হয়েছে৷
একটি মাল্টি-স্টেজ ইনফেকশন চেইন RotBot ম্যালওয়্যার হুমকি প্রদান করে
আক্রমণের ক্রমটি একটি উইন্ডোজ শর্টকাট ফাইল (LNK) দিয়ে শুরু হয়, যদিও লক্ষ্যবস্তুতে বিতরণের পদ্ধতিটি অস্পষ্ট থাকে। LNK ফাইলটি খোলার পরে, একটি HTML অ্যাপ্লিকেশন (HTA) ফাইল আক্রমণকারী দ্বারা নিয়ন্ত্রিত একটি সার্ভার থেকে ডাউনলোড এবং কার্যকর করা হয়, পরবর্তীতে একটি এমবেডেড ভিজ্যুয়াল বেসিক স্ক্রিপ্ট চালানো হয়।
এই স্ক্রিপ্টটি, বিপরীতে, ডিক্রিপ্ট করে এবং ক্রমান্বয়ে তিনটি অতিরিক্ত পাওয়ারশেল স্ক্রিপ্ট চালায় যা অ্যান্টি-ভিএম এবং অ্যান্টি-অ্যানালাইসিস চেক পরিচালনার জন্য দায়ী, উইন্ডোজ ইউজার অ্যাক্সেস কন্ট্রোল (ইউএসি) বাইপাস করে, উইন্ডোজ এবং অ্যাপ্লিকেশন বিজ্ঞপ্তিগুলি নিষ্ক্রিয় করে, এবং রোটবট ডাউনলোড এবং কার্যকর করে।
RotBot একটি টেলিগ্রাম বটের সাথে যোগাযোগ করার জন্য কনফিগার করা হয়েছে, মেমরিতে XClient স্টিলার ম্যালওয়্যার পুনরুদ্ধার এবং কার্যকর করা। এটি Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox, এবং Opera এর মতো ওয়েব ব্রাউজার থেকে কুকি, শংসাপত্র এবং আর্থিক তথ্য চুরির পাশাপাশি Discord এবং Telegram ডেটা এবং স্ক্রিনশট ক্যাপচার করার সুবিধা দেয়৷
অধিকন্তু, XClient-কে ডিজাইন করা হয়েছে ভিকটিমদের Facebook, Instagram, TikTok, এবং YouTube অ্যাকাউন্ট থেকে ডেটা বের করার জন্য, পেমেন্টের পদ্ধতি এবং তাদের Facebook ব্যবসা এবং বিজ্ঞাপন অ্যাকাউন্টগুলির সাথে সম্পর্কিত অনুমতিগুলি সম্পর্কে তথ্য পাওয়ার জন্য।
RotBot, Quasar RAT ক্লায়েন্টের একটি কাস্টমাইজড বৈকল্পিক, হুমকি অভিনেতার দ্বারা এই প্রচারণার জন্য বিশেষভাবে উপযোগী এবং সংকলন করা হয়েছে। অতিরিক্তভাবে, XClient তার প্লাগইন মডিউল এবং দূরবর্তী প্রশাসনিক কাজগুলি সম্পাদনের জন্য বিভিন্ন কার্যকারিতার মাধ্যমে ব্যাপক তথ্য-চুরির ক্ষমতা নিয়ে গর্ব করে।
ইনফোস্টেলাররা অসংখ্য সেক্টরকে লক্ষ্য করে একটি উল্লেখযোগ্য হুমকি রয়ে গেছে
Facebook-এ একটি ম্যালভার্টাইজিং ক্যাম্পেইন রিলাইড, ভিদার, IceRAT এবং নোভা স্টিলার নামে একটি নতুন আবির্ভূত হুমকির মতো বিভিন্ন তথ্য চুরিকারীকে প্রচার করতে জেনারেটিভ এআই টুলের আশেপাশের হাইপকে কাজে লাগাচ্ছে।
আক্রমণটি শুরু হয় হুমকি অভিনেতা একটি বিদ্যমান Facebook অ্যাকাউন্টের নিয়ন্ত্রণ দখল করে এবং Google, OpenAI এবং Midjourney-এর জনপ্রিয় AI সরঞ্জামগুলির সাথে সাদৃশ্য করার জন্য এর চেহারা পরিবর্তন করে। তারা প্ল্যাটফর্মে স্পনসরড বিজ্ঞাপন চালিয়ে তাদের প্রভাব বিস্তার করে।
উদাহরণস্বরূপ, 8 মার্চ, 2023-এ বন্ধ হওয়ার আগে মিডজার্নি হিসাবে জাল করা একটি নকল পৃষ্ঠা 1.2 মিলিয়ন ফলোয়ার সংগ্রহ করেছিল। এই পৃষ্ঠাগুলির পিছনে থাকা ব্যক্তিরা প্রাথমিকভাবে ভিয়েতনাম, মার্কিন যুক্তরাষ্ট্র, ইন্দোনেশিয়া, যুক্তরাজ্য এবং অস্ট্রেলিয়া, অন্যান্য দেশের মধ্যে ছিল।
এই ম্যালভার্টাইজিং প্রচারাভিযানগুলি জার্মানি, পোল্যান্ড, ইতালি, ফ্রান্স, বেলজিয়াম, স্পেন, নেদারল্যান্ডস, রোমানিয়া, সুইডেন এবং তার বাইরের দেশগুলিতে সক্রিয়ভাবে ইউরোপীয় ব্যবহারকারীদের লক্ষ্য করে বিস্তৃত আউটরিচ অর্জনের জন্য মেটা-এর স্পনসর করা বিজ্ঞাপন সিস্টেমকে সুবিধা দেয়৷
