ClickFix Malware

একটি সাম্প্রতিক ম্যালওয়্যার বিতরণ কৌশল গুগল ক্রোম, মাইক্রোসফ্ট ওয়ার্ড এবং ওয়ানড্রাইভ ত্রুটির অনুরূপ প্রতারণামূলক বিজ্ঞপ্তি নিয়োগ করে৷ এই জাল সতর্কতার লক্ষ্য হল ব্যবহারকারীদেরকে ভয়ঙ্কর PowerShell 'ফিক্স' কার্যকর করার জন্য প্রতারিত করা, যা শেষ পর্যন্ত ম্যালওয়্যার ইনস্টল করে। এই প্রচারাভিযানটি ক্লিয়ারফেক, ক্লিকফিক্স নামে পরিচিত একটি নতুন গ্রুপ, এবং কুখ্যাত TA571 হুমকি অভিনেতা সহ বিভিন্ন হুমকি অভিনেতাদের দ্বারা চিহ্নিত এবং ব্যবহার করা হয়েছে। TA571 একটি স্প্যাম ডিস্ট্রিবিউটর হিসাবে তার ভূমিকার জন্য পরিচিত, যা প্রচুর পরিমাণে ইমেল ছড়িয়ে দেওয়ার জন্য দায়ী যা প্রায়শই ম্যালওয়্যার এবং র্যানসমওয়্যার সংক্রমণের দিকে পরিচালিত করে।

পূর্বে, ClearFake আক্রমণে ওয়েবসাইট ওভারলে জড়িত ছিল যা দর্শকদের জাল ব্রাউজার আপডেট হিসাবে জাহির করে ম্যালওয়্যার ইনস্টল করতে প্রতারিত করেছিল।

জাল ত্রুটি সতর্কতা ম্যালওয়্যার হুমকি প্রদান করতে পারে

রিপোর্ট করা আক্রমণগুলিতে, হুমকি অভিনেতারা HTML সংযুক্তি এবং আপস করা ওয়েবসাইটগুলিতে এমবেড করা জাভাস্ক্রিপ্ট অন্তর্ভুক্ত করার জন্য তাদের পদ্ধতিগুলি প্রসারিত করেছে। এই কৌশলগুলিতে এখন ওভারলে জড়িত যা Google Chrome, Microsoft Word এবং OneDrive থেকে জাল ত্রুটিগুলি অনুকরণ করে৷ এই প্রতারণামূলক সতর্কতা দর্শকদের তাদের ক্লিপবোর্ডে একটি PowerShell 'ফিক্স' কপি করার জন্য একটি বোতামে ক্লিক করার জন্য অনুরোধ করে, এটিকে একটি রান ডায়ালগ বা PowerShell প্রম্পটে পেস্ট করতে এবং কার্যকর করার নির্দেশ দেয়।

যদিও এই আক্রমণ শৃঙ্খলটি উল্লেখযোগ্য ব্যবহারকারীর ইন্টারঅ্যাকশনের উপর নির্ভর করে, এর সোশ্যাল ইঞ্জিনিয়ারিং যথেষ্ট পরিশীলিত যা ব্যবহারকারীদের কাছে একটি আসল সমস্যা এবং একই সাথে সমাধান বলে মনে হয়। এটি ব্যবহারকারীদের সংশ্লিষ্ট ঝুঁকিগুলি সম্পূর্ণরূপে মূল্যায়ন না করেই দ্রুত কাজ করতে বাধ্য করতে পারে৷ ইনফোসেক গবেষকরা ডার্কগেট , মাতানবুচুস , নেটসাপোর্ট , অ্যামাডে লোডার , এক্সএমআরআইগ , একটি ক্লিপবোর্ড হাইজ্যাকার এবং লুমা স্টিলার সহ এই আক্রমণগুলিতে ব্যবহৃত বেশ কয়েকটি পেলোড সনাক্ত করেছেন।

জালিয়াতি স্ক্রিপ্ট ব্যবহারকারীদের ডিভাইসে ম্যালওয়্যার ড্রপ

বিশ্লেষকরা তিনটি স্বতন্ত্র আক্রমণ শৃঙ্খল সনাক্ত করেছেন যা প্রাথমিকভাবে তাদের প্রাথমিক পর্যায়ের দ্বারা পৃথক করা হয়েছে, শুধুমাত্র প্রথমটি TA571 এর সাথে সুনির্দিষ্টভাবে যুক্ত নয়।

এই প্রথম দৃশ্যে, ClearFake-এর সাথে সংযুক্ত হুমকি অভিনেতাদের সাথে যুক্ত, ব্যবহারকারীরা আপোসকৃত ওয়েবসাইটগুলিতে যান যেগুলি Binance-এর স্মার্ট চেইন চুক্তির মাধ্যমে ব্লকচেইনে হোস্ট করা ক্ষতিকারক স্ক্রিপ্টগুলি লোড করে৷ এই স্ক্রিপ্টগুলি চেক পরিচালনা করে এবং ওয়েব পৃষ্ঠা প্রদর্শনের সমস্যাগুলি দাবি করে জাল Google Chrome সতর্কতাগুলিকে ট্রিগার করে৷ তারপর ডায়ালগটি দর্শকদেরকে একটি 'রুট সার্টিফিকেট' ইনস্টল করার জন্য অনুরোধ করে একটি PowerShell স্ক্রিপ্টকে Windows ক্লিপবোর্ডে অনুলিপি করে এবং এটিকে একটি Windows PowerShell (অ্যাডমিন) কনসোলে কার্যকর করে৷

কার্যকর করার পরে, পাওয়ারশেল স্ক্রিপ্ট টার্গেট ডিভাইসটিকে বৈধ করে। এটি DNS ক্যাশে ফ্লাশ করা, ক্লিপবোর্ডের বিষয়বস্তু সাফ করা, একটি বিভ্রান্তি বার্তা প্রদর্শন করা এবং একটি দূরবর্তী PowerShell স্ক্রিপ্ট ডাউনলোড করার মতো ক্রিয়া সম্পাদন করে। এই স্ক্রিপ্টটি, ঘুরে, তথ্য-চুরির পেলোড ডাউনলোড শুরু করার আগে অ্যান্টি-ভিএম চেক পরিচালনা করে।

ক্লিকফিক্স এবং লোয়ার ইমেলগুলি বিকল্প আক্রমণ চেইন হিসাবে ব্যবহৃত হয়

দ্বিতীয় আক্রমণ শৃঙ্খলটি 'ক্লিকফিক্স' প্রচারাভিযানের সাথে যুক্ত, একটি জাল গুগল ক্রোম ত্রুটি উপস্থাপন করে একটি আইফ্রেম ওভারলে তৈরি করতে আপস করা সাইটগুলিতে ওয়েবসাইট ইনজেকশন ব্যবহার করে। ব্যবহারকারীদের 'Windows PowerShell (Admin)' খুলতে এবং প্রদত্ত কোড পেস্ট করার জন্য নির্দেশ দেওয়া হয়, যার ফলে পূর্বে উল্লেখিত একই সংক্রমণ হয়।

আরেকটি সংক্রমণ পদ্ধতিতে মাইক্রোসফ্ট ওয়ার্ড নথির অনুরূপ এইচটিএমএল সংযুক্তি ব্যবহার করে ইমেল-ভিত্তিক আক্রমণ জড়িত। নথিটি সঠিকভাবে দেখার জন্য ব্যবহারকারীদের 'ওয়ার্ড অনলাইন' এক্সটেনশনটি ইনস্টল করার জন্য অনুরোধ করা হয়। ত্রুটি বার্তাটি 'কীভাবে ঠিক করতে হয়' এবং 'স্বয়ংক্রিয়ভাবে ঠিক' বিকল্পগুলি প্রদান করে। 'কিভাবে ঠিক করবেন' নির্বাচন করা একটি base64-এনকোডেড PowerShell কমান্ড ক্লিপবোর্ডে অনুলিপি করে, ব্যবহারকারীদেরকে PowerShell-এ পেস্ট করতে নির্দেশ দেয়। 'অটো-ফিক্স' একটি রিমোট অ্যাটাকার-নিয়ন্ত্রিত ফাইল শেয়ার থেকে একটি WebDAV-হোস্ট করা 'fix.msi' বা 'fix.vbs' ফাইল প্রদর্শন করতে অনুসন্ধান-এমএস প্রোটোকল নিয়োগ করে। এই দৃষ্টান্তগুলিতে, পাওয়ারশেল কমান্ডগুলি হয় একটি MSI ফাইল বা একটি VBS স্ক্রিপ্ট ডাউনলোড এবং কার্যকর করে, যা যথাক্রমে ম্যাটানবুচুস বা ডার্কগেট দ্বারা সংক্রমণের দিকে পরিচালিত করে।

এই সমস্ত আক্রমণ জুড়ে, হুমকি অভিনেতারা তাদের সিস্টেমে PowerShell কমান্ড কার্যকর করার সাথে সম্পর্কিত ঝুঁকি সম্পর্কে ব্যবহারকারীদের সচেতনতার অভাবকে কাজে লাগায়। তারা আটকানো কোড দ্বারা ট্রিগার হওয়া ক্ষতিকারক ক্রিয়াগুলি সনাক্ত করতে এবং প্রতিরোধ করতে উইন্ডোজের অক্ষমতাকেও পুঁজি করে।

গবেষকদের দ্বারা পর্যবেক্ষণ করা বিভিন্ন আক্রমণের চেইনগুলি নির্দেশ করে যে TA571 কার্যকারিতা বাড়ানোর জন্য সক্রিয়ভাবে বিভিন্ন পদ্ধতি অন্বেষণ করছে এবং আরও বেশি সংখ্যক সিস্টেমকে সংক্রামিত করার জন্য অতিরিক্ত পথ আবিষ্কার করছে। এই অভিযোজিত পদ্ধতি সাইবার অপরাধীদের তাদের কৌশল বিকশিত করতে এবং সাইবার নিরাপত্তা ল্যান্ডস্কেপের মধ্যে তাদের প্রভাব প্রসারিত করার প্রতিশ্রুতিকে আন্ডারস্কোর করে।