ক্রিপ্টো ক্লিপার উইন্ডোজ আক্রমণ অভিযান
নিরাপত্তা গবেষকরা একটি অত্যাধুনিক উইন্ডোজ-ভিত্তিক ক্রিপ্টোকারেন্সি ক্লিপার অপারেশনের বিশদ বিবরণ প্রকাশ করেছেন, যা ২০২৬ সালের ফেব্রুয়ারি থেকে সক্রিয় রয়েছে। এই প্রচারাভিযানটি স্ব-প্রসারণে সক্ষম ক্লিপবোর্ড-পর্যবেক্ষণকারী ম্যালওয়্যার ব্যবহার করে এবং এর যোগাযোগ পরিকাঠামো গোপন করার জন্য টর অ্যানোনিমিটি নেটওয়ার্ককে কাজে লাগায়।
প্রচলিত ম্যালওয়্যার অপারেশনগুলো স্ট্যান্ডার্ড ইনস্টলার বা সর্বজনীনভাবে উন্মুক্ত কমান্ড-অ্যান্ড-কন্ট্রোল (C2) সার্ভারের উপর নির্ভর করলেও, এই থ্রেটটি একটি পোর্টেবল টর ক্লায়েন্ট স্থাপন করে এবং সমস্ত ট্র্যাফিক একটি স্থানীয় SOCKS5 প্রক্সির মাধ্যমে রাউট করে। ক্রিপ্টোকারেন্সি চুরি, ডেটা এক্সফিলট্রেশন এবং রিমোট কোড এক্সিকিউশনের সক্ষমতা একত্রিত করে, এই ম্যালওয়্যারটি কেবল একটি ক্লিপার হিসেবেই নয়, বরং একটি হালকা ব্যাকডোর হিসেবেও কাজ করে।
সুচিপত্র
ক্লিপার ম্যালওয়্যার কীভাবে কাজ করে
ক্লিপার ম্যালওয়্যারটি ভুক্তভোগীর ক্লিপবোর্ডের কার্যকলাপ নীরবে পর্যবেক্ষণ করতে এবং মেমরিতে কপি করা সংবেদনশীল তথ্য হস্তগত করার জন্য ডিজাইন করা হয়েছে। এর প্রধান উদ্দেশ্য হলো পরিচিত ব্লকচেইন ফরম্যাটের সাথে যুক্ত ওয়ালেট অ্যাড্রেস শনাক্ত করে এবং সেগুলোকে আক্রমণকারী-নিয়ন্ত্রিত বিকল্প দিয়ে প্রতিস্থাপন করার মাধ্যমে ক্রিপ্টোকারেন্সি লেনদেনে কারসাজি করা। এর ফলে, ভুক্তভোগীর অজান্তেই বৈধ প্রাপকদের জন্য নির্ধারিত তহবিল অন্য খাতে পাঠিয়ে দেওয়া হতে পারে।
এই ক্যাম্পেইনটি একটি এমবেডেড টর প্রক্সি চালু করতে এবং একটি হিডেন-সার্ভিস C2 সার্ভারের সাথে যোগাযোগ করতে উইন্ডোজ স্ক্রিপ্ট হোস্ট এবং অ্যাক্টিভএক্স-ভিত্তিক কার্যকারিতার উপর নির্ভর করে। ম্যালওয়্যারটি ক্রমাগত ক্লিপবোর্ড নজরদারি করে, স্ক্রিনশট নেয়, ক্রিপ্টোকারেন্সি-সম্পর্কিত তথ্য চুরি করে এবং রিয়েল টাইমে ওয়ালেট অ্যাড্রেস পরিবর্তন করে দেয়।
ইউএসবি-ভিত্তিক সংক্রমণ শৃঙ্খল এবং ওয়ার্মের কার্যকারিতা
এই আক্রমণটি অপসারণযোগ্য ইউএসবি স্টোরেজ ডিভাইসের মাধ্যমে ক্ষতিকারক উইন্ডোজ শর্টকাট (LNK) ফাইল বিতরণের মাধ্যমে শুরু হয়। যখন কোনো ভুক্তভোগী এই শর্টকাটগুলোর একটি খোলে, তখন একটি ওয়ার্ম উপাদান সক্রিয় হয়ে ওঠে। ম্যালওয়্যারটি প্রথমে যাচাই করে দেখে যে সিস্টেমটি আগে থেকেই সংক্রমিত হয়েছে কিনা এবং পূর্ববর্তী কোনো সংক্রমণ শনাক্ত না হলেই কেবল বাকি পেলোড ডাউনলোড করে।
LNK পেলোডটি সংযুক্ত USB ডিভাইসগুলোতে DOC, XLSX, এবং PDF ফাইলের মতো সচরাচর ব্যবহৃত ডকুমেন্ট ফরম্যাটগুলো সক্রিয়ভাবে খুঁজে বেড়ায়। একবার খুঁজে পাওয়া গেলে, এই ফাইলগুলোকে লুকিয়ে ফেলা হয় এবং সেগুলোর জায়গায় একই নামের ক্ষতিকারক শর্টকাট ফাইল বসিয়ে দেওয়া হয়। এই প্রতারণামূলক কৌশলটি এই সম্ভাবনা বাড়িয়ে দেয় যে, ব্যবহারকারীরা আপাতদৃষ্টিতে একটি বৈধ ডকুমেন্ট খোলার চেষ্টা করার সময় অজান্তেই ম্যালওয়্যারটি চালিয়ে ফেলবে।
প্রাথমিক সংক্রমণের পরেও, এই ওয়ার্মটি অতিরিক্ত অসংক্রমিত ইউএসবি ডিভাইসগুলিতে সংক্রমণ ছড়ানোর জন্য দায়ী। এটি ওয়ার্ম এবং স্টিলার উপাদান উভয়ের জন্য নির্ধারিত টাস্ক তৈরি করে নিজের স্থায়িত্বও প্রতিষ্ঠা করে।
উন্নত এড়ানো এবং অবিরাম কমান্ড কার্যকরীকরণ
ক্লিপার কম্পোনেন্টটি অপারেটিং সিস্টেমের সাথে সরাসরি যোগাযোগের জন্য WScript এবং ActiveXObject ব্যবহার করে। শনাক্ত হওয়ার সম্ভাবনা কমাতে, ম্যালওয়্যারটি সক্রিয় প্রসেসগুলো পরীক্ষা করে এবং টাস্ক ম্যানেজার চালু থাকলে নিজেকে বন্ধ করে দেয়।
এক্সিকিউশনের চূড়ান্ত পর্যায়ে, একটি লুকানো উইন্ডোতে নাম পরিবর্তন করা একটি টর বাইনারি চালু করা হয়। এরপর ম্যালওয়্যারটি একটি অনন্য ভিকটিম আইডেন্টিফায়ার তৈরি করে এবং সেটিকে তার রিমোট ইনফ্রাস্ট্রাকচারে রেজিস্টার করে। রেজিস্ট্রেশনের পর, এটি একটি অবিরাম অপারেশনাল লুপে প্রবেশ করে, যেখানে এটি প্রায় প্রতি ৫০০ মিলিসেকেন্ডে ক্লিপবোর্ডের বিষয়বস্তু পর্যবেক্ষণ করার পাশাপাশি কমান্ডের জন্য C2 সার্ভারকে পোল করতে থাকে।
ক্রিপ্টোকারেন্সি ওয়ালেট ডেটা, সিড ফ্রেজ এবং প্রাইভেট কী সংগ্রহের পাশাপাশি, এই ম্যালওয়্যারটি স্ক্রিনশট নেয় এবং টর নেটওয়ার্কের মাধ্যমে সেগুলো স্থানান্তর করে। যদি C2 সার্ভার একটি EVAL কমান্ড দিয়ে সাড়া দেয়, তবে আক্রান্ত সিস্টেমে আক্রমণকারীর সরবরাহ করা কোড ডায়নামিকভাবে কার্যকর হয়, যা এই হুমকির সক্ষমতা উল্লেখযোগ্যভাবে বাড়িয়ে দেয়।
মূল সূচক এবং প্রতিরক্ষামূলক সুপারিশ
নিরাপত্তা দলগুলোকে শুধুমাত্র স্ট্যাটিক ম্যালওয়্যার সিগনেচারের উপর নির্ভর না করে আচরণগত সনাক্তকরণ কৌশলের উপর মনোযোগ দেওয়ার পরামর্শ দেওয়া হচ্ছে। সন্দেহজনক পাওয়ারশেল-ভিত্তিক স্ক্রিন-ক্যাপচার কার্যকলাপ এবং curl, cmd.exe, PowerShell বা অন্যান্য অপ্রত্যাশিত এক্সিকিউটেবলসহ বিভিন্ন ইউটিলিটি চালু করার জন্য WScript বা CScript-এর মতো উইন্ডোজ স্ক্রিপ্টিং ইঞ্জিনের অস্বাভাবিক ব্যবহারের প্রতি বিশেষ মনোযোগ দেওয়া উচিত।
সুপারিশকৃত প্রতিরক্ষামূলক ব্যবস্থাগুলোর মধ্যে রয়েছে:
- সকল রিমুভেবল মিডিয়ার জন্য অটো-রান এবং অটো-প্লে কার্যকারিতা নিষ্ক্রিয় করা, গ্রুপ পলিসি অবজেক্ট (GPO)-এর মাধ্যমে ইউএসবি ডিভাইস থেকে LNK ফাইল এক্সিকিউশন ব্লক করা, এবং wscript.exe ও cscript.exe-এর অপ্রয়োজনীয় ব্যবহার সীমিত করা।
- আর্থিক বা ক্রিপ্টোকারেন্সি-সম্পর্কিত কার্যক্রম পরিচালনা করে এমন সিস্টেমগুলোকে অস্বাভাবিক ক্লিপবোর্ড কার্যকলাপ, অননুমোদিত স্ক্রিন-ক্যাপচার আচরণ এবং সন্দেহজনক টর-সম্পর্কিত নেটওয়ার্ক যোগাযোগের জন্য পর্যবেক্ষণ করা।
কেন এই হুমকিটি স্বতন্ত্র
এই অভিযানটি আর্থিকভাবে উদ্দেশ্যপ্রণোদিত ম্যালওয়্যারের ক্রমবর্ধমান পরিশীলিত রূপ তুলে ধরে। ইউএসবি-ভিত্তিক ওয়ার্ম বিস্তার, ক্লিপবোর্ড হাইজ্যাকিং, টর-এর মাধ্যমে যোগাযোগে বাধা সৃষ্টি, স্ক্রিনশট পাচার এবং রিমোট কোড এক্সিকিউশনকে একটিমাত্র টুলকিটে একত্রিত করে অপারেটররা এমন একটি বহুমুখী হুমকি তৈরি করেছে যা ক্রিপ্টোকারেন্সি সম্পদ চুরি এবং সংক্রমিত সিস্টেমে দীর্ঘমেয়াদী অ্যাক্সেস বজায় রাখা—উভয়ই করতে সক্ষম। হিডেন-সার্ভিস ইনফ্রাস্ট্রাকচারের ব্যবহার শনাক্তকরণ এবং নিষ্ক্রিয় করার প্রচেষ্টাকে আরও জটিল করে তোলে, যার ফলে সক্রিয় আচরণগত পর্যবেক্ষণ একটি গুরুত্বপূর্ণ প্রতিরক্ষা কৌশল হয়ে দাঁড়িয়েছে।
