Banana RAT

ব্যানানা র‍্যাট হলো একটি অত্যাধুনিক ব্যাংকিং রিমোট অ্যাক্সেস ট্রোজান (RAT), যা বিশেষভাবে ব্রাজিলের ব্যবহারকারীদের লক্ষ্য করে তৈরি করা হয়েছে। নিরাপত্তা গবেষকরা এই অভিযানের জন্য শ্যাডো-ওয়াটার-০৬৩ (SHADOW-WATER-063) নামক থ্রেট গ্রুপকে দায়ী করেন, যা ব্রাজিলের কুখ্যাত টেট্রাড (Tetrade) ব্যাংকিং ম্যালওয়্যার ইকোসিস্টেমের সাথে ঘনিষ্ঠভাবে জড়িত। এই বৃহত্তর ইকোসিস্টেমে ইতোমধ্যেই গ্রান্ডোরেইরো (Grandoreiro), মেকোটিও (Mekotio), ক্যাসবেনেইরো (Casbaneiro), গিল্ডমা (Guildma), এবং শ্যাভেক্লোক (CHAVECLOAK)-এর মতো সুপরিচিত ম্যালওয়্যার পরিবারগুলো অন্তর্ভুক্ত রয়েছে।

এই ম্যালওয়্যারটি আক্রমণকারীদেরকে আক্রান্ত সিস্টেমের উপর ব্যাপক নিয়ন্ত্রণ প্রদান করে, যার মাধ্যমে তারা রিয়েল-টাইম স্ক্রিন পর্যবেক্ষণ, কিবোর্ড ও মাউস নিয়ন্ত্রণ, কীস্ট্রোক লগিং, ক্লিপবোর্ড থেকে তথ্য হস্তগত করা এবং প্রতারণামূলক আর্থিক কার্যকলাপ গোপন করার উদ্দেশ্যে তৈরি করা নকল ব্যাংকিং বা উইন্ডোজ আপডেট স্ক্রিন প্রদর্শন করতে পারে। ব্যানানা র‍্যাট মূলত ভুক্তভোগীর অলক্ষ্যে অনলাইন ব্যাংকিং সেশন হ্যাক করা এবং আর্থিক লেনদেন অন্য পথে চালিত করার উপর বিশেষভাবে মনোনিবেশ করে।

সংক্রমণ শৃঙ্খল এবং এড়ানোর কৌশল

ভুক্তভোগীদের সাধারণত Consultar_NF-e.bat নামের একটি ক্ষতিকারক ব্যাচ ফাইল চালাতে প্ররোচিত করা হয়। ফাইলটিকে NF-e (Nota Fiscal Eletrônica) নামে পরিচিত একটি বৈধ ব্রাজিলিয়ান ইলেকট্রনিক ইনভয়েস হিসেবে ছদ্মবেশে রাখা হয়, যা ব্রাজিল জুড়ে ব্যবসা প্রতিষ্ঠানগুলোর কাছে ব্যাপকভাবে স্বীকৃত একটি ফরম্যাট। এটি সাধারণত হোয়াটসঅ্যাপ মেসেজ, ফিশিং ক্যাম্পেইন বা আক্রমণকারীর নিয়ন্ত্রিত ডোমেইনে হোস্ট করা ক্ষতিকারক লিঙ্কের মাধ্যমে বিতরণ করা হয়।

ব্যানানা র‍্যাট (Banana RAT) ম্যালওয়্যার-অ্যাজ-এ-সার্ভিস (Malware-as-a-Service) মডেল ব্যবহার করে কাজ করে, যা বিপুল সংখ্যক পলিমরফিক পেলোডের ওপর নির্ভরশীল। একই রকম ম্যালওয়্যারের নমুনা সরবরাহ করার পরিবর্তে, আক্রমণকারীরা ১০০ থেকে ২০০টি আগে থেকে তৈরি করা ভ্যারিয়েন্ট সংরক্ষণ করে, যার প্রতিটি হ্যাশ-ভিত্তিক শনাক্তকরণ পদ্ধতি এড়ানোর জন্য স্বতন্ত্রভাবে স্ক্র্যাম্বল করা থাকে। প্রতিটি পেলোড নয় স্তরের অবফাসকেশন (obfuscation) দ্বারা সুরক্ষিত থাকে এবং AES-256 ব্যবহার করে এনক্রিপ্ট করা হয়।

ক্ষতিকারক ব্যাচ ফাইলটি চালু হওয়ার পর, একটি হালকা পাওয়ারশেল স্টেজার আক্রমণকারীর পরিকাঠামো থেকে এনক্রিপ্টেড দ্বিতীয়-পর্যায়ের পেলোডটি ডাউনলোড করে। পেলোডটি সরাসরি মেমরিতে ডিক্রিপ্ট করা হয় এবং ডিস্কে পাঠযোগ্য কোড না লিখেই এক্সিকিউট করা হয়, যা ম্যালওয়্যারটিকে প্রচলিত অ্যান্টিভাইরাস সমাধানগুলোর জন্য শনাক্ত করা উল্লেখযোগ্যভাবে কঠিন করে তোলে। যোগাযোগ আরও গোপন করার জন্য, ম্যালওয়্যারটি বৈধ মাইক্রোসফট সিডিএন পরিকাঠামোর অনুকরণে টাইপোস্কোয়াটেড ডোমেইনের মাধ্যমে TCP পোর্ট 443-এ তার কমান্ড-অ্যান্ড-কন্ট্রোল (C2) সংযোগ স্থাপন করে। ট্র্যাফিক AES-256-CBC দিয়ে এনক্রিপ্ট করা হয় এবং আক্রান্ত মেশিনের GUID ও MAC অ্যাড্রেসের সাথে সংযুক্ত HMAC টোকেন ব্যবহার করে প্রমাণীকরণ করা হয়, যা নিশ্চিত করে যে শুধুমাত্র অনুমোদিত অপারেটররাই ক্ষতিগ্রস্ত ডিভাইসটির সাথে ইন্টারঅ্যাক্ট করতে পারবে।

সম্পূর্ণ রিমোট কন্ট্রোল এবং ব্যাংকিং ম্যানিপুলেশন

কার্যকর হওয়ার পর, ব্যানানা র‍্যাট অপারেটরদেরকে আক্রান্ত সিস্টেমের উপর সরাসরি এবং ইন্টারেক্টিভ নিয়ন্ত্রণ প্রদান করে। আক্রমণকারীরা রিয়েল টাইমে একাধিক মনিটরে ডেস্কটপ স্ট্রিম করতে পারে, কীবোর্ড এবং মাউসের ইনপুট অনুকরণ করতে পারে, এবং এমনকি পটভূমিতে অননুমোদিত ব্যাংকিং লেনদেন সম্পাদনের সময় ভুক্তভোগীর নিজস্ব ইনপুট ডিভাইসগুলোকেও সাময়িকভাবে নিষ্ক্রিয় করে দিতে পারে।

ম্যালওয়্যারটির নজরদারির ক্ষমতা শুধু রিমোট কন্ট্রোলের মধ্যেই সীমাবদ্ধ নয়। এতে থাকা একটি ইন্টিগ্রেটেড কীলগার ক্রমাগত কীস্ট্রোক রেকর্ড করে একটি রিং বাফারে জমা করে, যা অপারেটররা প্রয়োজনমতো পুনরুদ্ধার করতে পারে। ক্লিপবোর্ড মনিটরিংও এতে অন্তর্ভুক্ত করা হয়েছে, যা আক্রমণকারীদেরকে ক্রিপ্টোকারেন্সি ওয়ালেট অ্যাড্রেসসহ কপি করা কন্টেন্টগুলো নীরবে সরিয়ে দিয়ে, আক্রমণকারীর দ্বারা নিয়ন্ত্রিত বিকল্প কন্টেন্ট বসানোর সুযোগ করে দেয়।

ব্যানানা র‍্যাট-এর একটি প্রধান স্বতন্ত্র বৈশিষ্ট্য হলো এর ব্যাংকিং-কেন্দ্রিক ওভারলে সিস্টেম। এই ম্যালওয়্যারটি সক্রিয় ব্রাউজার উইন্ডোর শিরোনামগুলো পর্যবেক্ষণ করে এবং সেগুলোকে ব্রাজিলের ১৬টি আর্থিক প্রতিষ্ঠানের একটি হার্ডকোডেড তালিকার সাথে তুলনা করে। এই প্রতিষ্ঠানগুলোর মধ্যে রয়েছে ইতাউ ইউনিব্যাঙ্কো, ব্রাডেসকো, স্যান্টান্ডার ব্রাজিল, কাইশা ইকোনোমিকা ফেডারেল এবং ব্যাঙ্কো দো ব্রাজিল, পাশাপাশি ব্রাজিলে পরিচালিত ক্রিপ্টোকারেন্সি এক্সচেঞ্জ প্ল্যাটফর্মগুলোও। যখন কোনো মিল খুঁজে পাওয়া যায়, তখন আক্রমণকারীরা বিশ্বাসযোগ্য ফুল-স্ক্রিন ওভারলে প্রদর্শন করতে পারে, যা আসল ব্যাংকিং পোর্টাল বা উইন্ডোজ আপডেট নোটিফিকেশনের অনুকরণ করে এবং আড়ালে ঘটে চলা প্রতারণামূলক কার্যকলাপকে গোপন রাখে।

পিক্স কিউআর কোড হাইজ্যাকিং এবং দীর্ঘমেয়াদী স্থায়িত্ব

ব্যানানা র‍্যাট-এ ব্রাজিলের ইনস্ট্যান্ট পেমেন্ট প্ল্যাটফর্ম পিক্স-কে লক্ষ্য করে একটি বিশেষ সাবসিস্টেম রয়েছে। রানটাইমে ZXing বারকোড প্রসেসিং লাইব্রেরি লোড করার মাধ্যমে, ম্যালওয়্যারটি ভুক্তভোগীর স্ক্রিনে পিক্স কিউআর কোড খুঁজে বের করে। একবার শনাক্ত হলে, আক্রমণকারীরা আসল পেমেন্ট কিউআর কোডগুলোকে জাল সংস্করণ দিয়ে প্রতিস্থাপন করতে পারে, যা তাদের নিয়ন্ত্রণে থাকা অ্যাকাউন্টগুলোতে অর্থ পাঠিয়ে দেয়। এর আগেও মেকোটিও এবং শ্যাভেক্লোক-এর মতো ব্রাজিলিয়ান ব্যাংকিং ট্রোজানগুলোতে একই ধরনের কিউআর কোড ম্যানিপুলেশনের কৌশল দেখা গেছে, যা টেট্রাড ম্যালওয়্যার ইকোসিস্টেমের মধ্যে ব্যানানা র‍্যাট-এর শ্রেণিবিন্যাসকে আরও শক্তিশালী করে।

স্থায়ীত্ব বজায় রাখার জন্য, ম্যালওয়্যারটি একটি গোপন উইন্ডোজ টাস্ক শিডিউলার এন্ট্রি তৈরি করে, যা ৯,৯৯৯ দিন ধরে প্রতি মিনিটে পাওয়ারশেল পেলোড পুনরায় চালু করার জন্য কনফিগার করা থাকে। এই নির্ধারিত টাস্কটি লুকানো উইন্ডো এবং বাইপাস করা এক্সিকিউশন পলিসির মাধ্যমে কার্যকর হয়, যা কোনো দৃশ্যমান প্রম্পট বা কনসোল উইন্ডো প্রদর্শিত হতে বাধা দেয়। ব্যানানা র‍্যাট নিজেকে এমন সব ডিরেক্টরিতেও কপি করে, যা বৈধ মাইক্রোসফট ডায়াগনস্টিক পাথের মতো দেখতে ডিজাইন করা হয়েছে। এটি বিশ্বস্ত সিস্টেম লোকেশনের সাথে মিশে যেতে এবং সাধারণ পর্যবেক্ষণ এড়াতে সাহায্য করে।

প্রাথমিক প্রসব পদ্ধতি এবং সতর্কীকরণ চিহ্ন

ব্যানানা র‍্যাট ক্যাম্পেইনগুলো প্রধানত সোশ্যাল ইঞ্জিনিয়ারিং এবং প্রতারণামূলক ফাইল ডেলিভারি কৌশলের উপর নির্ভর করে। সংক্রমণের সাধারণ পদ্ধতিগুলোর মধ্যে রয়েছে:

• জাল ইনভয়েস অ্যাটাচমেন্ট বা ক্ষতিকর ডাউনলোড লিঙ্ক সম্বলিত ফিশিং ইমেল।
• ছদ্মবেশী এনএফ-ই নথি সম্বলিত হোয়াটসঅ্যাপ এবং চ্যাট-প্ল্যাটফর্মের বার্তা
• আপোসকৃত ওয়েবসাইট এবং ক্ষতিকারক বিজ্ঞাপন থেকে ড্রাইভ-বাই ডাউনলোড
• পাইরেটেড সফটওয়্যার, নকল সফটওয়্যার আপডেট এবং ক্র্যাকড অ্যাপ্লিকেশন
• BAT, জাভাস্ক্রিপ্ট, LNK শর্টকাট, ZIP বা RAR আর্কাইভ, অফিস ডকুমেন্ট, EXE ইনস্টলার এবং MSI প্যাকেজের মতো ক্ষতিকারক ফাইল ফরম্যাট।

আপোসের সূচক এবং প্রতিরক্ষামূলক ব্যবস্থা

বানানা র‍্যাট বিশেষভাবে ব্রাজিলের ব্যাংকিং ব্যবহারকারীদের কাছ থেকে রিয়েল টাইমে অর্থ চুরি করার জন্য তৈরি করা হয়েছে। এর লাইভ রিমোট অ্যাক্সেস, ক্রেডেনশিয়াল চুরি, কিউআর কোড ম্যানিপুলেশন এবং ব্যাংকিং ওভারলে-র সমন্বয় আক্রমণকারীদেরকে ভুক্তভোগীদের কাছ থেকে জালিয়াতিপূর্ণ লেনদেন গোপন রেখে আর্থিক সেশনগুলো সম্পূর্ণরূপে হাইজ্যাক করতে সক্ষম করে।

আপসের সম্ভাব্য সূচকগুলোর মধ্যে রয়েছে:

• লুকানো পাওয়ারশেল কমান্ড চালু করার জন্য কনফিগার করা অপ্রত্যাশিত নির্ধারিত টাস্ক।
• এনক্রিপ্টেড চ্যানেলের মাধ্যমে মাইক্রোসফট অবকাঠামোর ছদ্মবেশে সন্দেহজনক বহির্গামী সংযোগ।
• অনলাইন ব্যাংকিং সেশনের সময় মাউস বা কীবোর্ডের অস্বাভাবিক আচরণ
• অননুমোদিত পিক্স স্থানান্তর বা ব্যাখ্যাতীত ক্রিপ্টোকারেন্সি ওয়ালেট পরিবর্তন
• লুকানো পাওয়ারশেল প্রসেস এবং ব্যাংক অ্যাকাউন্টের অস্বাভাবিক কার্যকলাপ

সংক্রমণের সন্দেহযুক্ত যেকোনো সিস্টেমকে অবিলম্বে বিচ্ছিন্ন করা উচিত। সংরক্ষিত ব্যাংকিং ক্রেডেনশিয়াল, ক্লিপবোর্ডের বিষয়বস্তু, অথেনটিকেশন টোকেন এবং ক্রিপ্টোকারেন্সি ওয়ালেটের তথ্যকে আপোসকৃত হিসেবে গণ্য করা উচিত এবং সংশ্লিষ্ট সমস্ত পাসওয়ার্ড ও আর্থিক অ্যাক্সেস ক্রেডেনশিয়াল অবিলম্বে রিসেট করা উচিত।