CountLoader ম্যালওয়্যার

সাইবার নিরাপত্তা বিশ্লেষকরা একটি নতুন ম্যালওয়্যার বিতরণ প্রচারণা আবিষ্কার করেছেন যা পাইরেটেড সফ্টওয়্যার সরবরাহকারী ওয়েবসাইটগুলিকে কাউন্টলোডার নামে পরিচিত একটি গোপন, মডুলার লোডারের আপডেটেড রূপ ছড়িয়ে দেওয়ার জন্য অপব্যবহার করে। ক্র্যাকড অ্যাপ্লিকেশন অনুসন্ধানকারী ব্যবহারকারীদের শিকার করে, অপারেটররা প্রাথমিকভাবে একটি অবস্থান অর্জন করে যা গোপন অ্যাক্সেস, প্রতিরক্ষা ফাঁকি এবং অতিরিক্ত ক্ষতিকারক সরঞ্জামগুলির পর্যায়ক্রমে বিতরণ সক্ষম করে।

বহু-পর্যায়ের অনুপ্রবেশে কাউন্টলোডারের ভূমিকা

এই প্রচারণায়, CountLoader একটি বৃহত্তর আক্রমণ শৃঙ্খলে প্রথম উপাদান হিসেবে কাজ করে। পূর্ববর্তী তদন্তে ইতিমধ্যেই লোডারটির কোবাল্ট স্ট্রাইক, অ্যাডাপ্টিক্সসি২, পিওরএইচভিএনসি আরএটি, অ্যামাটেরা স্টিলার এবং পিওরমাইনার সহ বিভিন্ন ধরণের সেকেন্ডারি পেলোড স্থাপনের ক্ষমতা দেখানো হয়েছে। প্রমাণ থেকে জানা যায় যে কাউন্টলোডার কমপক্ষে জুন ২০২৫ সাল থেকে বাস্তব-বিশ্বের আক্রমণে সক্রিয়ভাবে ব্যবহৃত হচ্ছে, যা এর পরিপক্কতা এবং অব্যাহত উন্নয়নকে তুলে ধরে।

ভুয়া ডাউনলোড থেকে নীরব সম্পাদন পর্যন্ত

আক্রান্তরা যখন মাইক্রোসফট ওয়ার্ডের মতো বৈধ সফটওয়্যারের ক্র্যাকড ভার্সন ডাউনলোড করার চেষ্টা করে তখন সংক্রমণের ক্রম শুরু হয়। প্রতিশ্রুত অ্যাপ্লিকেশনটি পাওয়ার পরিবর্তে, তাদের মিডিয়াফায়ার-হোস্টেড জিপ আর্কাইভে পুনঃনির্দেশিত করা হয়। এই আর্কাইভে দুটি মূল আইটেম রয়েছে: একটি এনক্রিপ্ট করা জিপ ফাইল এবং একটি ওয়ার্ড ডকুমেন্ট যা এটি খোলার জন্য প্রয়োজনীয় পাসওয়ার্ড সুবিধাজনকভাবে সরবরাহ করে।

সুরক্ষিত সংরক্ষণাগারের ভিতরে একটি বৈধ পাইথন ইন্টারপ্রেটার রয়েছে যার নাম পরিবর্তন করে Setup.exe রাখা হয়েছে। এই এক্সিকিউটেবলটি একটি ক্ষতিকারক কমান্ড চালু করার জন্য কনফিগার করা হয়েছে যা mshta.exe ব্যবহার করে একটি দূরবর্তী সার্ভার থেকে CountLoader সংস্করণ 3.2 পুনরুদ্ধার করে, চুপচাপ আপস শুরু করে।

প্রতারণার মাধ্যমে অধ্যবসায় এবং পরিবেশ সচেতনতা

দীর্ঘমেয়াদী অ্যাক্সেস নিশ্চিত করার জন্য, ম্যালওয়্যারটি বৈধ দেখানোর জন্য একটি নির্ধারিত কাজ তৈরি করে স্থায়িত্ব প্রতিষ্ঠা করে। এটি 'GoogleTaskSystem136.0.7023.12' নামটি গ্রহণ করে এবং তারপরে একটি অনন্য শনাক্তকারীর মতো একটি স্ট্রিং থাকে। এই কাজটি এক দশক ধরে প্রতি 30 মিনিটে কার্যকর করার জন্য কনফিগার করা হয়েছে, mshta.exe ব্যবহার করে এবং প্রয়োজনে একটি ফলব্যাক ডোমেনের উপর নির্ভর করে।

তার স্থায়িত্ব প্রক্রিয়া চূড়ান্ত করার আগে, CountLoader উইন্ডোজ ম্যানেজমেন্ট ইন্সট্রুমেন্টেশন (WMI) এর মাধ্যমে অ্যান্টিভাইরাস ইনভেন্টরি অনুসন্ধান করে একটি নির্দিষ্ট সুরক্ষা পণ্যের উপস্থিতির জন্য সিস্টেমটি পরীক্ষা করে। যদি টুলটি সনাক্ত করা হয়, তাহলে লোডারটি cmd.exe /c start /b mshta.exe ব্যবহার করার জন্য তার কার্যকরকরণ পদ্ধতিটি সূক্ষ্মভাবে পরিবর্তন করে। যদি তা না হয়, তাহলে এটি mshta.exe ব্যবহার করে সরাসরি দূরবর্তী URL-এর সাথে যোগাযোগ করে, ঘর্ষণ এবং সন্দেহ কমিয়ে দেয়।

সম্প্রসারণ ক্ষমতা এবং মডুলার বৈশিষ্ট্য

একবার প্রতিষ্ঠিত হয়ে গেলে, CountLoader সংক্রামিত হোস্টের প্রোফাইল তৈরি করে এবং প্রয়োজন অনুসারে অতিরিক্ত পেলোড পুনরুদ্ধার করে। সর্বশেষ পুনরাবৃত্তিটি নতুন কার্যকারিতা প্রবর্তন করে, যার মধ্যে রয়েছে অপসারণযোগ্য USB ড্রাইভের মাধ্যমে ছড়িয়ে দেওয়ার ক্ষমতা এবং mshta.exe বা PowerShell ব্যবহার করে সরাসরি মেমরিতে ক্ষতিকারক কোড কার্যকর করার ক্ষমতা। এর সমর্থিত ক্ষমতাগুলির মধ্যে রয়েছে:

• দূরবর্তী URL থেকে এক্সিকিউটেবলগুলি পুনরুদ্ধার এবং চালানো
• জিপ আর্কাইভ ডাউনলোড করা এবং এমবেডেড পাইথন মডিউল বা EXE ফাইল চালানো
• rundll32.exe এর মাধ্যমে DLL ফাইলগুলি আনা এবং চালু করা
• MSI প্যাকেজ ডাউনলোড এবং ইনস্টল করা
• ফরেনসিক ট্রেস কমাতে নিজস্ব নির্ধারিত কাজটি সরিয়ে ফেলা হচ্ছে
• বিস্তারিত সিস্টেম তথ্য সংগ্রহ এবং এক্সফিল্টার করা
• লুকানো মূল ফাইলের পাশাপাশি ক্ষতিকারক LNK ফাইল তৈরি করে অপসারণযোগ্য মিডিয়ার মাধ্যমে প্রচার করা, যা কমান্ড-এন্ড-কন্ট্রোল প্যারামিটার সহ mshta.exe এর মাধ্যমে বৈধ ফাইল এবং ম্যালওয়্যার উভয়ই কার্যকর করে।
• আক্রমণকারী-নিয়ন্ত্রিত URL গুলির বিরুদ্ধে সরাসরি mshta.exe ব্যবহার করা
• সম্পূর্ণরূপে মেমরিতে দূরবর্তী পাওয়ারশেল পেলোডগুলি কার্যকর করা হচ্ছে

চূড়ান্ত পেলোড: ACR স্টিলার

পর্যবেক্ষণকৃত আক্রমণ শৃঙ্খলে, কাউন্টলোডার শেষ পর্যন্ত ACR Stealer সরবরাহ করে, যা একটি তথ্য-চুরিকারী ম্যালওয়্যার যা ঝুঁকিপূর্ণ সিস্টেম থেকে সংবেদনশীল ডেটা চুরি করার জন্য ডিজাইন করা হয়েছে। এই চূড়ান্ত পর্যায়ে পাইরেটেড সফ্টওয়্যার জড়িত একটি প্রাথমিক প্রলোভনকে একটি পূর্ণ-স্কেল ডেটা চুরি অপারেশনে রূপান্তরিত করে।

এই প্রচারণা রক্ষাকর্মীদের জন্য কী সংকেত দেয়

এই অপারেশনটি কাউন্টলোডারের অব্যাহত বিবর্তন এবং ক্রমবর্ধমান পরিশীলিততা প্রদর্শন করে। পাইথন ইন্টারপ্রেটার অপব্যবহার, নির্ধারিত টাস্ক মাস্কেরেডিং, স্বাক্ষরিত বাইনারি অপব্যবহার এবং ফাইললেস, ইন-মেমরি এক্সিকিউশনের সংমিশ্রণ গোপন অনুপ্রবেশ কৌশলের দিকে একটি বৃহত্তর পরিবর্তনকে প্রতিফলিত করে। ডিফেন্ডারদের জন্য, প্রচারণাটি সক্রিয় পর্যবেক্ষণ, স্তরযুক্ত সুরক্ষা নিয়ন্ত্রণ এবং ব্যবহারকারী সচেতনতার গুরুত্বকে আরও জোরদার করে, বিশেষ করে অননুমোদিত বা ক্র্যাকড সফ্টওয়্যার ডাউনলোডের ঝুঁকি সম্পর্কে।