কালার-ব্লাইন্ড RAT
সাইবারসিকিউরিটি গবেষকরা পাইথন প্যাকেজ ইনডেক্সে (PyPI) আপলোড করা একটি ভয়ঙ্কর পাইথন প্যাকেজ উন্মোচন করেছেন, যাতে একটি ক্ষতিকারক তথ্য চুরিকারী এবং রিমোট অ্যাক্সেস ট্রোজান (RAT) রয়েছে৷ প্যাকেজটির নাম দেওয়া হয়েছিল 'কালারফুল' এবং একটি নিরাপত্তা গবেষণা দল চিহ্নিত করেছিল, যারা ম্যালওয়্যার হুমকির নাম দিয়েছে 'কালার-ব্লাইন্ড'।
এই ঘটনাটি গণতান্ত্রিক সাইবার অপরাধের ক্রমবর্ধমান প্রবণতাকে হাইলাইট করে, যেখানে অসুস্থ মানসিকতার অভিনেতারা সহজেই তাদের নিজস্ব উদ্দেশ্যের জন্য বিদ্যমান কোড অ্যাক্সেস করতে এবং পুনরায় ব্যবহার করতে পারে। গবেষকরা ব্যাখ্যা করেছেন যে অনলাইন অপরাধের গণতন্ত্রীকরণ একটি তীব্র হুমকির ল্যান্ডস্কেপের দিকে নিয়ে যেতে পারে, কারণ আক্রমণকারীরা তাদের ম্যালওয়্যারের একাধিক রূপ তৈরি করতে পারে অন্যদের থেকে প্রাপ্ত কোড ব্যবহার করে।
অন্যান্য সাম্প্রতিক দুর্বৃত্ত পাইথন মডিউলের মতো, কালার-ব্লাইন্ড সেটআপ স্ক্রিপ্টে এর খারাপ কোড লুকানোর জন্য একটি কৌশল ব্যবহার করে। সেটআপ স্ক্রিপ্ট তারপর একটি জিপ আর্কাইভ পেলোড নির্দেশ করে যা বৈধ ডিসকর্ড প্ল্যাটফর্মে হোস্ট করা হয়। এটি ম্যালওয়্যারকে কিছু ঐতিহ্যগত নিরাপত্তা ব্যবস্থা দ্বারা সনাক্তকরণ এড়াতে অনুমতি দেয়, এটি সনাক্ত করা এবং অপসারণ করা আরও কঠিন করে তোলে।
কালার-ব্লাইন্ড RAT 'সাপ' গেমের কোড বহন করে
ম্যালওয়্যারটি একটি অধ্যবসায় পদ্ধতি ব্যবহার করে যার মধ্যে একটি ভিজ্যুয়াল বেসিক (ভিবি) স্ক্রিপ্ট যোগ করা হয় যার নাম 'প্রয়োজনীয়। ব্যবহারকারীর 'স্টার্ট মেনু'-তে 'স্টার্ট আপ' ফোল্ডারে vbs'। লগইন করার পরে, VB স্ক্রিপ্ট একটি উইন্ডোজ ব্যাচ ফাইল চালায় যা ম্যালওয়্যার 'python.exe'-এর মতো একই ফোল্ডারে ইনজেক্ট করে। এই ব্যাচ ফাইলটি প্রতিবার ব্যবহারকারী লগ ইন করার সময় পাইথন ব্যবহার করে ম্যালওয়্যার শুরু করে, যাতে ম্যালওয়্যারটি সক্রিয় থাকে এবং সিস্টেমে উপস্থিত থাকে।
ম্যালওয়্যারটির একটি ফাইল এক্সফিল্ট্রেশন ফাংশন রয়েছে যা 'ট্রান্সফার[.]sh', একটি বেনামী ফাইল স্থানান্তর ওয়েবসাইট যা হুমকি অভিনেতাদের মধ্যে ক্রমবর্ধমান জনপ্রিয়। ম্যালওয়্যারটিতে সামাজিক প্রকৌশল সম্পর্কিত কোডও রয়েছে, যা একটি ত্রুটির বার্তা তৈরি করে যা ব্যবহারকারীকে প্রশাসক হিসাবে ম্যালওয়্যারটিকে পুনরায় চালানোর জন্য প্ররোচিত করার চেষ্টা করে। উপরন্তু, ম্যালওয়্যারটিতে 'Snake' গেমের একটি এমবেডেড সংস্করণ রয়েছে যা একটি GitHub সংগ্রহস্থল থেকে কোডের সরাসরি অনুলিপি বলে মনে হচ্ছে। যাইহোক, এই গেমটি কোন আপাত উদ্দেশ্য পরিবেশন করে না এবং কার্যকর করার সময় শুরু হয় না।
ম্যালওয়্যারটি একাধিক সাবপ্রসেস ট্রিগার করে, যার মধ্যে কুকিজ, পাসওয়ার্ড এবং ক্রিপ্টোকারেন্সি ওয়ালেট সংগ্রহের জন্য থ্রেড অন্তর্ভুক্ত থাকে। রিমোট কন্ট্রোল সক্ষম করতে, ম্যালওয়্যারটি একটি ফ্লাস্ক ওয়েব অ্যাপ্লিকেশন শুরু করে। হুমকিটি তখন অ্যাপ্লিকেশনটিকে ক্লাউডফ্লেয়ারের বিপরীত টানেল ইউটিলিটির মাধ্যমে ইন্টারনেটে অ্যাক্সেসযোগ্য করে তোলে যার নাম 'ক্লাউডফ্ল্যারড'। এই পদ্ধতি ব্যবহার করে, ম্যালওয়্যার যেকোন ইনবাউন্ড ফায়ারওয়াল নিয়মগুলিকে বাইপাস করতে পারে এবং আপস করা সিস্টেমে একটি অবিরাম উপস্থিতি বজায় রাখতে পারে৷
কালার-ব্লাইন্ড RAT-এ পাওয়া হুমকির ক্ষমতার বিস্তৃত সেট
কালার-ব্লাইন্ড RAT এবং এর বিভিন্ন ক্ষতিকারক কার্যকারিতা ওয়েব অ্যাপ্লিকেশনের মাধ্যমে নিয়ন্ত্রণ করা যেতে পারে। টোকেন ফাংশন বিভিন্ন অ্যাপ্লিকেশনের জন্য লগইন টোকেন ডাম্প করতে পারে যা electron.io বা ক্রোমিয়ামের মাধ্যমে সরাসরি একটি অ্যাপ্লিকেশন ফ্রেমওয়ার্ক হিসাবে ক্রোমিয়াম ব্যবহার করে, যার মধ্যে রয়েছে Discord। পাসওয়ার্ড ফাংশন ওয়েব ব্রাউজার থেকে নিষ্কাশিত পাসওয়ার্ডগুলিকে স্ক্রিনে ডাম্প করে, যখন কুকিজ ফাংশন সমস্ত ব্রাউজার কুকিগুলিকে স্ক্রিনে ডাম্প করে। কী ফাংশন ক্যাপচার করা ডেটা কী লগারদের কাছে ডাম্প করে এবং স্ক্রিনে দেখায়।
RAT এর ক্ষমতাগুলির মধ্যে রয়েছে অ্যাপ্লিকেশন ফাংশন, যা বর্তমানে সক্রিয় অ্যাপ্লিকেশনগুলির একটি তালিকা এবং সেগুলিকে শেষ করার জন্য একটি বোতাম সরবরাহ করে। ডেটা ডাম্প ফাংশন সমস্ত ক্যাপচার করা ডেটা C2 URL এ পাঠায়। স্ক্রিন ফাংশন ব্যবহারকারীর ডেস্কটপের একটি স্ক্রিনশট দেখায় এবং প্রাথমিক মিথস্ক্রিয়া যেমন কী প্রেস করার অনুমতি দেয়। হুমকি আইপি তথ্য সন্ধান করতে পারে এবং একটি ভিন্ন ফাংশন ব্যবহার করে পর্দায় প্রদর্শন করতে পারে। এটি একটি প্রদত্ত ওয়েবপেজে একটি ব্রাউজার খুলতে পারে এবং অপারেটিং সিস্টেমের মাধ্যমে কমান্ড চালাতে পারে। ক্রিপ্টোকারেন্সি ওয়ালেটের তথ্য লঙ্ঘিত ডিভাইস থেকে ফ্যান্টম/মেটামাস্ক ফাংশনের মাধ্যমে সংগ্রহ করা যেতে পারে।
যাইহোক, কালার-ব্লাইন্ড RAT সংক্রামিত সিস্টেমে আরও বেশি ক্রিয়া সম্পাদন করতে পারে, যেমন /ক্যামেরা এন্ডপয়েন্ট ব্যবহার করে একটি ওয়েব ক্যামেরার মাধ্যমে সন্দেহাতীত ব্যবহারকারীর উপর গুপ্তচরবৃত্তি করা। এছাড়াও 'hvnc' দিয়ে শুরু হওয়া বিভিন্ন এন্ডপয়েন্ট রয়েছে, যা শিকারের মেশিনে তৈরি একটি লুকানো ডেস্কটপ নিয়ে কাজ করে। /hvncmanager ফাংশন এই লুকানো ডেস্কটপে একটি ওয়েব ব্রাউজার শুরু করার অনুমতি দেয়। /hvnc ফাংশনটি লুকানো ডেস্কটপ খুলতে ব্যবহৃত হয় এবং এটি হুমকি অভিনেতাদের এটির সাথে যোগাযোগ করতে দেয়। এই ধরনের লুকানো পদ্ধতিতে একটি ওয়েব ব্রাউজার খোলার ক্ষমতা হুমকি অভিনেতাদের দ্বারা শিকারের ইন্টারনেট অ্যাকাউন্ট অ্যাক্সেস বা ইন্টারঅ্যাক্ট করার জন্য ব্যবহার করা যেতে পারে। /hvncitem ফাংশন আক্রমণকারীদের ইউআরএল প্যারামিটার 'স্টার্ট' ম্যানিপুলেশনের মাধ্যমে লুকানো ডেস্কটপে কাস্টম কমান্ড কার্যকর করতে সক্ষম করে।
