ডার্কমি ম্যালওয়্যার

মাইক্রোসফ্ট ডিফেন্ডার স্মার্টস্ক্রিনে সম্প্রতি প্রকাশিত একটি নিরাপত্তা দুর্বলতাকে ওয়াটার হাইড্রা নামে পরিচিত একটি উন্নত ক্রমাগত হুমকি গোষ্ঠী দ্বারা শূন্য-দিনের শোষণ হিসাবে ব্যবহার করা হয়েছে, যা ডার্কক্যাসিনো নামেও চিহ্নিত। এই আক্রমণের প্রাথমিক লক্ষ্য হল আর্থিক বাজারের ব্যবসার সাথে জড়িত ব্যক্তিরা। গবেষকরা 2023 সালের ডিসেম্বরে এই দূষিত প্রচারণা আবিষ্কার করেছিলেন।

আক্রমণকারীরা CVE-2024-21412 এর সুবিধা নিচ্ছে, যা ইন্টারনেট শর্টকাট ফাইল (.URL) এর সাথে সম্পর্কিত একটি নিরাপত্তা বাইপাস দুর্বলতা। আক্রমণের ক্রমানুসারে, হুমকি অভিনেতা CVE-2024-21412 ব্যবহার করে মাইক্রোসফ্ট ডিফেন্ডার স্মার্টস্ক্রিনকে বাধা দিতে এবং সন্দেহাতীত শিকারদের সংক্রামিত করতে DarkMe ম্যালওয়্যার প্রবর্তন করে।

মাইক্রোসফ্ট তার ফেব্রুয়ারী প্যাচ মঙ্গলবার আপডেটে এই দুর্বলতার সমাধান করেছে। কোম্পানির মতে, একটি অননুমোদিত হ্যাকার লক্ষ্যযুক্ত ব্যবহারকারীকে একটি বিশেষভাবে তৈরি করা ফাইল পাঠানোর মাধ্যমে ত্রুটির সুবিধা নিতে পারে, যাতে তারা নিরাপত্তা চেক বাইপাস করতে পারে। যাইহোক, শোষণের সাফল্য নির্ভর করে হুমকি অভিনেতা ভিকটিমকে ফাইল লিঙ্কে ক্লিক করতে এবং আক্রমণকারী দ্বারা নিয়ন্ত্রিত বিষয়বস্তু দেখতে রাজি করাতে।

ডার্কমি ম্যালওয়্যার একটি মাল্টি-স্টেজ অ্যাটাক চেইনের মাধ্যমে স্থাপন করা হয়েছে

DarkMe শুধুমাত্র অতিরিক্ত নির্দেশাবলী ডাউনলোড এবং কার্যকর করার ক্ষমতা প্রদর্শন করে না বরং একটি কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভারের সাথে নিজেকে নিবন্ধন করতে এবং আপস করা সিস্টেম থেকে তথ্য সংগ্রহ করার ক্ষমতা প্রদর্শন করে।

পর্যবেক্ষণ করা সংক্রমণ প্রক্রিয়া চলাকালীন, একটি ক্ষতিকারক ইনস্টলার ফাইল ('7z.msi') স্থাপন করার জন্য CVE-2024-21412-এর শোষণকে নিযুক্ত করা হয়। এটি একটি বোবি-ট্র্যাপড ইউআরএলে ('fxbulls.ru') ক্লিক করার জন্য ভুক্তভোগীদের প্রলুব্ধ করে অর্জন করা হয়, যা ফরেক্স ট্রেডিং ফোরামের মাধ্যমে প্রচারিত হয়। একটি স্টক চার্ট চিত্রের একটি লিঙ্ক ভাগ করে নেওয়ার ছদ্মবেশে প্রলোভনটি উপস্থাপন করা হয়েছে। যাইহোক, লিঙ্কটির প্রকৃত বিষয়বস্তু হল একটি ইন্টারনেট শর্টকাট ফাইল ('photo_2023-12-29.jpg.url')।

'fxbulls.ru'-এর ল্যান্ডিং পৃষ্ঠায় একটি সতর্কতার সাথে তৈরি করা ফিল্টার করা ভিউ সহ একটি হুমকিমূলক WebDAV শেয়ার করার জন্য একটি লিঙ্ক রয়েছে৷ ব্যবহারকারীরা এই লিঙ্কে ক্লিক করলে, ব্রাউজার তাদের উইন্ডোজ এক্সপ্লোরারে এটি খুলতে অনুরোধ করে। উল্লেখযোগ্যভাবে, এটি একটি নিরাপত্তা প্রম্পট ট্রিগার করে না, সম্ভাব্যভাবে ব্যবহারকারীকে লিঙ্কের অনিরাপদ প্রকৃতি উপেক্ষা করতে পরিচালিত করে।

এই স্কিমের একটি উল্লেখযোগ্য দিক হল হুমকি অভিনেতার অনুসন্ধান অ্যাপ্লিকেশন প্রোটোকলের শোষণ, যা সাধারণত উইন্ডোজে ডেস্কটপ অনুসন্ধান অ্যাপ্লিকেশন কল করার জন্য ব্যবহৃত হয়। এই প্রোটোকলটি অতীতে ম্যালওয়্যার সরবরাহ করতে অপব্যবহার করা হয়েছে। এই প্রোটোকলের অভিনেতার চতুর ম্যানিপুলেশন সংক্রমণ প্রক্রিয়ায় প্রতারণার একটি অতিরিক্ত স্তর যোগ করে।

এপিটি (অ্যাডভান্সড পারসিসটেন্ট থ্রেট) গ্রুপগুলো প্রায়ই জিরো-ডে দুর্বলতাকে কাজে লাগায়

DarkMe সংক্রমণ শৃঙ্খলে ব্যবহৃত রেফারেন্সিংয়ের এই স্বতন্ত্র পদ্ধতিটি অন্য একটি শর্টকাটের মধ্যে একটি শর্টকাটের ব্যবহার থেকে উদ্ভূত হয়, যা স্মার্টস্ক্রিনকে বাধা দেওয়ার ক্ষেত্রে কার্যকর প্রমাণিত হয়েছে। এই উদাহরণে, স্মার্টস্ক্রিন মার্ক অফ দ্য ওয়েব (MotW) যথাযথভাবে প্রয়োগ করতে ব্যর্থ হয়, একটি গুরুত্বপূর্ণ উইন্ডোজ উপাদান যা অবিশ্বস্ত উৎস থেকে ফাইল খোলা বা চালানোর সময় ব্যবহারকারীদের সতর্ক করার জন্য ডিজাইন করা হয়েছে।

এই প্রচারণার চূড়ান্ত উদ্দেশ্য হল গোপনে পটভূমিতে ডার্কমি নামে পরিচিত একটি ভিজ্যুয়াল বেসিক ট্রোজান সরবরাহ করা। একই সাথে, প্রচারণা শিকারের কাছে একটি স্টক গ্রাফ প্রদর্শন করে, শোষণ এবং সংক্রমণ শৃঙ্খলের প্রকৃত প্রকৃতি গোপন করে একটি প্রতারণামূলক মুখোশ বজায় রাখে।

এটি লক্ষণীয় যে নতুন আবিষ্কৃত শূন্য-দিনের দুর্বলতা, প্রায়শই সাইবার ক্রাইম গ্রুপ দ্বারা চিহ্নিত করা হয়, জাতি-রাষ্ট্র হ্যাকিং গ্রুপগুলির অস্ত্রাগারে তাদের পথ খুঁজে পেতে পারে। এই অত্যাধুনিক আক্রমণকারী, যেমন ওয়াটার হাইড্রা, উন্নত প্রচারাভিযানে শূন্য-দিনের দুর্বলতা উন্মোচন এবং শোষণ করার জন্য প্রয়োজনীয় প্রযুক্তিগত দক্ষতা এবং সরঞ্জামের অধিকারী। এটি তাদের জটিল এবং শক্তিশালী আক্রমণ চালানোর ক্ষমতা প্রদর্শন করে, DarkMe-এর মতো অত্যন্ত ধ্বংসাত্মক ম্যালওয়্যার স্থাপন করতে সক্ষম করে।