DeepLoad ম্যালওয়্যার

সম্প্রতি শনাক্ত হওয়া একটি আক্রমণ অভিযান সংক্রমণ শুরু করার জন্য ক্লিকফিক্স সোশ্যাল ইঞ্জিনিয়ারিং কৌশল ব্যবহার করে। একটি মনগড়া সিস্টেম সমস্যা সমাধানের অজুহাতে ভুক্তভোগীদের উইন্ডোজ রান ডায়ালগে ক্ষতিকারক পাওয়ারশেল কমান্ড পেস্ট করতে প্ররোচিত করা হয়। এই প্রাথমিক ধাপে, একটি দুর্বোধ্য পাওয়ারশেল-ভিত্তিক লোডার পুনরুদ্ধার ও কার্যকর করার জন্য mshta.exe নামক একটি বৈধ উইন্ডোজ ইউটিলিটি ব্যবহার করা হয়।

এড়ানোর উদ্দেশ্যে পরিকল্পিত ধোঁয়াশা

পাওয়ারশেল লোডারটি অতিরিক্ত এবং অর্থহীন ভেরিয়েবল অ্যাসাইনমেন্টের মাধ্যমে তার আসল উদ্দেশ্য গোপন করে, যা স্ট্যাটিক বিশ্লেষণকে উল্লেখযোগ্যভাবে জটিল করে তোলে। প্রমাণ থেকে বোঝা যায় যে, এই অবফাসকেশন লেয়ারটি তৈরি করতে সম্ভবত কৃত্রিম বুদ্ধিমত্তার টুল ব্যবহার করা হয়েছিল, যা এর জটিলতা বাড়িয়ে তোলে। এই পদ্ধতিটি ম্যালওয়্যারটিকে তার অপারেশনাল অখণ্ডতা বজায় রেখে প্রচলিত সনাক্তকরণ প্রক্রিয়াগুলোকে বাইপাস করতে সক্ষম করে।

সিস্টেম ক্যামোফ্লেজের মাধ্যমে গোপনীয়তা

DeepLoad বিশেষভাবে এমনভাবে ডিজাইন করা হয়েছে যাতে এটি উইন্ডোজের সাধারণ কার্যক্রমের সাথে নির্বিঘ্নে মিশে যেতে পারে। এর পেলোডটি LockAppHost.exe নামের একটি এক্সিকিউটেবল ফাইলের মধ্যে লুকানো থাকে, যা উইন্ডোজ লক স্ক্রিন পরিচালনার জন্য দায়ী একটি বৈধ প্রসেস। নিজের উপস্থিতি আরও গোপন করার জন্য, ম্যালওয়্যারটি পাওয়ারশেল কমান্ড হিস্ট্রি নিষ্ক্রিয় করে দেয় এবং সাধারণ পাওয়ারশেল কমান্ডের উপর নির্ভর না করে সরাসরি উইন্ডোজের নিজস্ব কোর ফাংশনগুলো ব্যবহার করে। এই কৌশলটি একে সেইসব মনিটরিং সিস্টেমকে ফাঁকি দিতে সাহায্য করে, যারা পাওয়ারশেলের কার্যকলাপ ট্র্যাক করে।

ফাইলবিহীন কৌশল এবং গতিশীল পেলোড তৈরি

শনাক্তকরণ এড়ানোর জন্য, DeepLoad ডিস্কে কোনো সামঞ্জস্যপূর্ণ আর্টিফ্যাক্ট রাখে না। এটি PowerShell-এর Add-Type ফিচার ব্যবহার করে ডাইনামিকভাবে একটি সেকেন্ডারি কম্পোনেন্ট তৈরি করে, যা C# কোডকে কম্পাইল করে ব্যবহারকারীর Temp ডিরেক্টরিতে একটি অস্থায়ী DLL ফাইল সংরক্ষণ করে। প্রতিটি এক্সিকিউশন একটি অনন্য নামের ফাইল তৈরি করে, যা পরিচিত সিগনেচারের উপর নির্ভরশীল ফাইল-ভিত্তিক শনাক্তকরণ পদ্ধতিগুলোকে কার্যকরভাবে বাইপাস করে।

গোপন মৃত্যুদণ্ডের জন্য উন্নত ইনজেকশন

প্রতিরোধ এড়ানোর একটি প্রধান কৌশল হলো অ্যাসিঙ্ক্রোনাস প্রসিডিউর কল (APC) ইনজেকশন ব্যবহার করা। ম্যালওয়্যারটি একটি সাসপেন্ডেড অবস্থায় থাকা বৈধ উইন্ডোজ প্রসেস চালু করে, সরাসরি এর মেমরিতে শেলকোড প্রবেশ করিয়ে দেয় এবং পুনরায় চালু হয়। এই পদ্ধতিটি নিশ্চিত করে যে ক্ষতিকারক পেলোডটি একটি বিশ্বস্ত প্রসেসের মধ্যে চলে এবং এর ডিকোড করা সংস্করণ ডিস্কে লেখা হয় না, যা এর ফরেনসিক ফুটপ্রিন্ট উল্লেখযোগ্যভাবে হ্রাস করে।

ক্রমাগত পরিচয়পত্র চুরির প্রক্রিয়া

DeepLoad কার্যকর হওয়ার সাথে সাথেই ব্যবহারকারীর সংবেদনশীল তথ্য বের করে নেওয়ার জন্য তৈরি করা হয়েছে। এর সক্ষমতাগুলোর মধ্যে রয়েছে:

• সংক্রমিত সিস্টেম থেকে সরাসরি সংরক্ষিত ব্রাউজার পাসওয়ার্ড সংগ্রহ করা
• একটি ক্ষতিকারক ব্রাউজার এক্সটেনশন স্থাপন করা, যা লগইন প্রচেষ্টার সময় রিয়েল-টাইমে ক্রেডেনশিয়াল সংগ্রহ করে এবং ম্যানুয়ালি অপসারণ না করা পর্যন্ত সেশন জুড়ে স্থায়ী থাকে।

অপসারণযোগ্য মিডিয়ার মাধ্যমে পার্শ্বীয় বিস্তার

এই ম্যালওয়্যারটি অপসারণযোগ্য স্টোরেজ ডিভাইসকে কাজে লাগানোর জন্য তৈরি করা বিস্তার কৌশল ব্যবহার করে। ইউএসবি ড্রাইভ বা অনুরূপ মিডিয়া শনাক্ত করার পর, এটি বৈধ ইনস্টলারের ছদ্মবেশে ক্ষতিকারক শর্টকাট ফাইল কপি করে। এই ফাইলগুলোর নাম এমনভাবে রাখা হয় যাতে সেগুলোকে বিশ্বাসযোগ্য মনে হয়, যা ব্যবহারকারীর সম্পৃক্ততা এবং আরও সংক্রমণের সম্ভাবনা বাড়িয়ে তোলে।

WMI অপব্যবহারের মাধ্যমে নীরব পুনঃসংক্রমণ

DeepLoad উইন্ডোজ ম্যানেজমেন্ট ইন্সট্রুমেন্টেশন (WMI) ব্যবহার করে স্থায়িত্ব প্রতিষ্ঠা করে। এটি ইভেন্ট সাবস্ক্রিপশন তৈরি করে যা তিন দিন পর পুনরায় সংক্রমণ ঘটায়, এবং এর জন্য ব্যবহারকারীর কোনো হস্তক্ষেপ বা আক্রমণকারীর সম্পৃক্ততার প্রয়োজন হয় না। এই কৌশলটি প্রত্যাশিত প্যারেন্ট-চাইল্ড প্রসেস সম্পর্ক ভেঙে দিয়ে প্রচলিত সনাক্তকরণ মডেলগুলোকেও ব্যাহত করে।

কৌশলগত উদ্দেশ্য: সম্পূর্ণ কিল চেইন কভারেজ

DeepLoad-এর সামগ্রিক নকশা একটি বহুমুখী ম্যালওয়্যার ফ্রেমওয়ার্কের ইঙ্গিত দেয়, যা সম্পূর্ণ সাইবার কিল চেইন জুড়ে বিভিন্ন কার্যক্রম সম্পাদন করতে সক্ষম। এর কার্যপ্রণালী নিম্নলিখিত বিষয়গুলোর উপর আলোকপাত করে:

• সনাক্তকরণের সুযোগ কমাতে ডিস্ক-ভিত্তিক আর্টিফ্যাক্ট এড়ানো
• বৈধ উইন্ডোজ প্রসেসের মধ্যে ক্ষতিকারক কার্যকলাপের মিশ্রণ
• এর পরিধি প্রসারিত করতে বিভিন্ন সিস্টেম জুড়ে দ্রুত ছড়িয়ে পড়ছে।

একটি পরিমাপযোগ্য হুমকি কাঠামোর সূচকসমূহ

DeepLoad-এর সাথে যুক্ত পরিকাঠামো এবং মডিউলার ডিজাইন একটি শেয়ার্ড বা পরিষেবা-ভিত্তিক ডেপ্লয়মেন্ট মডেলের সম্ভাবনা নির্দেশ করে। যদিও এর বৈশিষ্ট্যগুলো ম্যালওয়্যার-অ্যাজ-এ-সার্ভিস (MaaS) অফারিংয়ের সাথে সামঞ্জস্যপূর্ণ, বর্তমানে এই শ্রেণিবিন্যাসটিকে চূড়ান্তভাবে নিশ্চিত করার মতো পর্যাপ্ত প্রমাণ নেই।