BundleBot ম্যালওয়্যার
BundleBot নামক একটি হুমকিমূলক ম্যালওয়্যার ভেরিয়েন্ট গোপনে কাজ করছে, .NET একক-ফাইল স্থাপনার কৌশল ব্যবহার করে সনাক্তকরণ এড়িয়ে যাচ্ছে। এই পদ্ধতিটি হুমকি অভিনেতাদের আপোসকৃত হোস্টদের কাছ থেকে গোপনে সংবেদনশীল তথ্য ক্যাপচার করতে দেয়।
BundleBot ডটনেট বান্ডেল (একক-ফাইল) স্বয়ংসম্পূর্ণ বিন্যাসকে কাজে লাগানোর জন্য পরিচিত, যা নিরাপত্তা ব্যবস্থার জন্য এটি সনাক্ত করা চ্যালেঞ্জিং করে তোলে। এর ফলে খুব কম বা এমনকি শূন্য স্ট্যাটিক সনাক্তকরণ হয়, যার ফলে আপোসকৃত ডিভাইসে ম্যালওয়্যার দীর্ঘ সময়ের জন্য সনাক্ত করা যায় না।
সাইবারসিকিউরিটি বিশেষজ্ঞদের অনুসন্ধান অনুসারে, বান্ডলবট বিতরণ সাধারণত Facebook বিজ্ঞাপন এবং আপস করা অ্যাকাউন্টগুলির মাধ্যমে ঘটে, যা সন্দেহাতীত ব্যবহারকারীদের ওয়েবসাইটগুলিতে নিয়ে যায় যেগুলি নিয়মিত প্রোগ্রাম ইউটিলিটি, এআই টুলস এবং গেমস হিসাবে মাস্করাড করে৷ একবার ব্যবহারকারীরা এই প্রতারণামূলক ওয়েবসাইটগুলি অ্যাক্সেস করলে, তারা অজান্তেই ম্যালওয়্যার ডাউনলোড এবং কার্যকর করতে ট্রিগার করে, তাদের সিস্টেম এবং সংবেদনশীল ডেটাকে ঝুঁকির মধ্যে ফেলে।
সুচিপত্র
সাইবার অপরাধীরা ফিশিং লোর হিসেবে জনপ্রিয় এআই টুলের সুবিধা নেয়
BundleBot ম্যালওয়্যার আক্রমণের সাথে সংযুক্ত ওয়েবসাইটগুলি Google Bard অনুকরণ করার কৌশল অবলম্বন করেছে, একটি বিশিষ্ট কথোপকথনমূলক জেনারেটিভ AI চ্যাটবট কোম্পানি দ্বারা তৈরি করা হয়েছে৷ এই প্রতারণামূলক ওয়েবসাইটগুলি 'Google_AI.rar' নামে একটি RAR আর্কাইভের জন্য একটি আপাতদৃষ্টিতে লোভনীয় ডাউনলোড লিঙ্ক অফার করে সন্দেহভাজন শিকারদের প্রলুব্ধ করে৷ উল্লেখযোগ্যভাবে, এই প্রতারণামূলক সংরক্ষণাগারগুলি ড্রপবক্সের মতো বৈধ ক্লাউড স্টোরেজ পরিষেবাগুলিতে হোস্ট করা হয়৷
AI টুলের ক্রমবর্ধমান জনপ্রিয়তা বিবেচনা করে প্রলোভন হিসাবে Google Bard এর ব্যবহার নতুন কিছু নয়। সাইবার অপরাধীরা সাম্প্রতিক মাসগুলিতে ব্যবহারকারীদের প্রতারিত করার জন্য এই প্রবণতার সুযোগ নিয়েছে, বিশেষ করে Facebook এর মত প্ল্যাটফর্মে। তারা এই কৌশলটি ব্যবহার করে গোপনে বিভিন্ন ধরনের তথ্য-সংগ্রহকারী ম্যালওয়্যার বিতরণ করার জন্য, যেমন কুখ্যাত Doenerium ।
এই অনিরাপদ লিঙ্কগুলির বিতরণ প্রায়ই Facebook বিজ্ঞাপন এবং আপস করা ব্যবহারকারী অ্যাকাউন্টের মাধ্যমে ঘটে। এই পদ্ধতিটি ক্রমাগত কিছু সময়ের জন্য হুমকি অভিনেতাদের দ্বারা শোষিত হয়েছে। এই বিতরণ কৌশলটিকে ম্যালওয়্যারের একজন ভিকটিম এর Facebook অ্যাকাউন্টের তথ্য চুরি করার ক্ষমতার সাথে একত্রিত করে, সাইবার অপরাধীরা একটি স্ব-টেকসই চক্র তৈরি করে যা তাদের ক্ষতিকর কার্যকলাপে যোগ দেয়।
BundleBot ম্যালওয়্যার হুমকির সংক্রমণ চেইন
'Google_AI.rar' সংরক্ষণাগারটি আনপ্যাক করার পরে, ব্যবহারকারীরা 'GoogleAI.exe' নামে একটি এক্সিকিউটেবল ফাইল পাবেন, যা একটি .NET একক-ফাইল, স্বয়ংসম্পূর্ণ অ্যাপ্লিকেশন। পরিবর্তে, এই অ্যাপ্লিকেশনটি 'GoogleAI.dll' নামক একটি DLL ফাইলকে অন্তর্ভুক্ত করে, যা Google ড্রাইভ থেকে একটি পাসওয়ার্ড-সুরক্ষিত জিপ সংরক্ষণাগার আনার জন্য দায়ী৷
পরবর্তী পর্যায়ে, 'ADSNEW-1.0.0.3.zip' নামক জিপ ফাইল থেকে বের করা বিষয়বস্তু অন্য একটি .NET একক-ফাইল, 'RiotClientServices.exe' নামে পরিচিত স্বয়ংসম্পূর্ণ অ্যাপ্লিকেশন প্রকাশ করে। এই অ্যাপ্লিকেশনটি BundleBot পেলোড 'RiotClientServices.dll', সেইসাথে 'LirarySharing.dll' নামে একটি কমান্ড-এন্ড-কন্ট্রোল (C2) প্যাকেট ডেটা সিরিয়ালাইজার বহন করে।
একবার সক্রিয় হয়ে গেলে, BundleBot ম্যালওয়্যার একটি কাস্টম এবং অভিনব চুরিকারী/বট হিসাবে কাজ করে। এটি C2 সার্ভারের সাথে বটের যোগাযোগের সময় প্রেরিত প্যাকেট ডেটা প্রক্রিয়া এবং সিরিয়াল করার জন্য 'LirarySharing.dll' লাইব্রেরি ব্যবহার করে। বিশ্লেষণ এড়াতে, বাইনারি আর্টিফ্যাক্টগুলি কাস্টম-মেড অস্পষ্টকরণ কৌশলগুলি ব্যবহার করে এবং উল্লেখযোগ্য পরিমাণে জাঙ্ক কোড অন্তর্ভুক্ত করে।
BundleBot ম্যালওয়্যার হুমকিমূলক অনুপ্রবেশকারী কার্যকারিতা আছে
ম্যালওয়ারের ক্ষমতা উদ্বেগজনক। এটি গোপনে ওয়েব ব্রাউজার থেকে ডেটা বের করতে পারে, স্ক্রিনশট ক্যাপচার করতে পারে, ডিসকর্ড টোকেন অর্জন করতে পারে, টেলিগ্রাম থেকে তথ্য সংগ্রহ করতে পারে এবং ফেসবুক অ্যাকাউন্টের বিবরণ সংগ্রহ করতে পারে। ম্যালওয়্যারটি একটি অত্যাধুনিক ডেটা চুরিকারী বট হিসাবে কাজ করে, ব্যবহারকারীর অজান্তেই বিভিন্ন উত্স থেকে সংবেদনশীল তথ্যের সাথে আপস করে৷
মজার বিষয় হল, BundleBot-এর একটি দ্বিতীয় নমুনা রয়েছে, একটি মূল পার্থক্য ছাড়া সব দিক থেকে প্রায় অভিন্ন। এই বৈকল্পিকটি একটি দূরবর্তী সার্ভারে চুরি করা তথ্য এক্সফিল্ট করতে HTTPS ব্যবহার করে। চুরি হওয়া ডেটা একটি জিপ সংরক্ষণাগার হিসাবে উত্তোলন করা হয়, যা আক্রমণকারীদের সন্দেহ না করেই বিচক্ষণতার সাথে শিকারের তথ্য স্থানান্তর করতে দেয়।
