দ্বৈত-পেলোড ম্যালওয়্যার প্রচারাভিযান

সম্প্রতি আবিষ্কৃত একটি ম্যালওয়্যার ক্যাম্পেইন সাইবার নিরাপত্তা মহলে ব্যাপক মনোযোগ আকর্ষণ করছে, কারণ এটি একই সাথে দুটি ভিন্ন ধরনের হুমকি ছড়াতে সক্ষম। একটিমাত্র দুর্বোধ্য লোডার ব্যবহার করে একই আক্রান্ত সিস্টেমে Gh0st RAT এবং CloverPlus উভয়কেই প্রবেশ করানো হয়।

এই সংমিশ্রণটি একদিকে যেমন অস্বাভাবিক, তেমনই অত্যন্ত কৌশলগত। Gh0st RAT আক্রান্ত মেশিনের ওপর সম্পূর্ণ রিমোট কন্ট্রোল সক্ষম করে, অন্যদিকে CloverPlus ব্রাউজারের কার্যকলাপ নিয়ন্ত্রণ, বিজ্ঞাপনের উপাদান প্রবেশ করানো এবং অনাকাঙ্ক্ষিত পপ-আপের মাধ্যমে রাজস্ব আয়ের ওপর মনোযোগ দেয়। এই দ্বৈত ব্যবস্থা আক্রমণকারীদেরকে স্থায়ীভাবে অননুমোদিত অ্যাক্সেস বজায় রাখার পাশাপাশি রিয়েল টাইমে সংক্রমণ থেকে অর্থ উপার্জন করতে সাহায্য করে।

এই প্রচারণাটি একাধিক পেলোড সরবরাহের ক্রমবর্ধমান প্রবণতাকে তুলে ধরে, যেখানে আক্রমণকারীরা একটিমাত্র লঙ্ঘনের মাধ্যমে কার্যক্ষম দক্ষতা এবং আর্থিক লাভ সর্বাধিক করে তোলে।

বিভ্রান্তিমূলক কৌশল: পেলোড গোপন করা

এই অভিযানের কেন্দ্রবিন্দুতে থাকা লোডারটি গোপনীয়তার জন্য বিশেষভাবে তৈরি করা হয়েছে। এটি প্রচলিত শনাক্তকরণ পদ্ধতি এড়ানোর জন্য তথ্য গোপনের কৌশল ব্যবহার করে এর রিসোর্স সেকশনের মধ্যে দুটি এনক্রিপ্টেড পেলোড সংযুক্ত করে।

কার্যক্রমটি CloverPlus অ্যাডওয়্যার মডিউলের মাধ্যমে শুরু হয়, যা AdWare.Win32.CloverPlus নামে পরিচিত এবং wiseman.exe নামের একটি এক্সিকিউটেবলের সাথে যুক্ত। এই কম্পোনেন্টটি ব্রাউজারের স্টার্টআপ সেটিংস পরিবর্তন করে এবং স্থায়ী পপ-আপ বিজ্ঞাপন ঢুকিয়ে দেয়।

এরপরে, লোডারটি তার এক্সিকিউশন পাথ মূল্যায়ন করে। যদি এটি সিস্টেমের %temp% ডিরেক্টরি থেকে পরিচালিত না হয়, তবে এটি এগিয়ে যাওয়ার আগে সেখানে নিজের একটি অনুলিপি তৈরি করে নেয়। পরবর্তী পর্যায়ে Gh0st RAT ক্লায়েন্ট মডিউলটি ডিক্রিপ্ট করা হয়, যা ম্যালওয়্যার বাইনারির মধ্যে একটি এনক্রিপ্টেড রিসোর্স হিসেবেও লুকানো থাকে।

একবার ডিক্রিপ্ট হয়ে গেলে, ম্যালওয়্যারটি পেলোডটিকে একটি এলোমেলো ফাইলের নাম দেয় এবং সেটিকে C:\ ড্রাইভের রুটে অবস্থিত একটি এলোমেলো নামের ফোল্ডারে সংরক্ষণ করে, যা এর শনাক্তকরণ এবং বিশ্লেষণকে আরও জটিল করে তোলে।

প্রকৃতির উপর নির্ভর করে জীবনযাপন: বিশ্বস্ত সরঞ্জাম, বিদ্বেষপূর্ণ উদ্দেশ্য

ডিক্রিপ্ট করা পেলোডটি কার্যকর করার জন্য, ম্যালওয়্যারটি উইন্ডোজের বৈধ ইউটিলিটি rundll32.exe ব্যবহার করে। এই পদ্ধতিটি একটি বিশ্বস্ত সিস্টেম প্রসেসের ছদ্মবেশে ক্ষতিকারক কোড কার্যকর করতে সক্ষম করে, যা নিরাপত্তা ব্যবস্থা সক্রিয় হওয়ার সম্ভাবনাকে উল্লেখযোগ্যভাবে হ্রাস করে।

একবার সক্রিয় হলে, Gh0st RAT আক্রান্ত সিস্টেমের প্রোফাইলিং শুরু করে এবং MAC অ্যাড্রেস ও হার্ড ড্রাইভের সিরিয়াল নম্বরের মতো অনন্য শনাক্তকারী তথ্য সংগ্রহ করে। এই বিবরণগুলো আক্রমণকারীর কমান্ড-অ্যান্ড-কন্ট্রোল পরিকাঠামোর মধ্যে ভুক্তভোগীকে নিবন্ধন করতে ব্যবহৃত হয়, যা সংক্রমিত হোস্টগুলোর সুনির্দিষ্ট ট্র্যাকিং এবং ব্যবস্থাপনা নিশ্চিত করে।

স্থায়িত্বের কৌশল: দীর্ঘমেয়াদী প্রবেশাধিকার নিশ্চিতকরণ

সিস্টেম রিবুটের পরেও অ্যাক্সেস বজায় রাখা এই ক্যাম্পেইনের একটি প্রধান উদ্দেশ্য। Gh0st RAT অপারেটিং সিস্টেমের গভীরে প্রোথিত একাধিক কৌশলের মাধ্যমে এই স্থায়িত্ব অর্জন করে:

স্টার্টআপে স্বয়ংক্রিয়ভাবে চালু হওয়া নিশ্চিত করতে উইন্ডোজ রান রেজিস্ট্রি কী-এর পরিবর্তন।
SYSTEM\CurrentControlSet\Services\RemoteAccess\RouterManagers\Ip-এর অধীনে রিমোট অ্যাক্সেস সার্ভিস পাথে একটি ক্ষতিকারক DLL-এর নিবন্ধন।

এই পদ্ধতিগুলো সংশ্লিষ্ট পরিষেবাটি চালু করার সাথে সাথেই ম্যালওয়্যারটিকে সিস্টেম-স্তরের বিশেষাধিকার প্রদান করে, যার ফলে ব্যবহারকারীর আর কোনো হস্তক্ষেপের প্রয়োজন হয় না এবং দীর্ঘমেয়াদী নিয়ন্ত্রণ আরও জোরদার হয়।

সনাক্তকরণ ও প্রতিরক্ষা: আপোসের সূচক

এই প্রচারণার প্রভাব ব্যক্তি ও প্রতিষ্ঠান উভয়ের জন্যই যথেষ্ট। অ্যাডওয়্যার অংশটি ব্রাউজারের কার্যকারিতা ব্যাহত করে এবং ক্ষতিকর বিজ্ঞাপনের ঝুঁকি বাড়ায়, অন্যদিকে RAT অংশটি ডেটা চুরি, কীস্ট্রোক লগিং, নিরাপত্তা ব্যবস্থা এড়িয়ে যাওয়া এবং স্থায়ী বিশেষাধিকারপ্রাপ্ত অ্যাক্সেস সক্ষম করে।

নিরাপত্তা দলগুলোকে সতর্ক থাকতে হবে এবং নিরাপত্তা লঙ্ঘনের নিম্নলিখিত সূচকগুলোর ওপর নজর রাখতে হবে:

• rundll32.exe চালু হওয়ার ফলে অস্বাভাবিক বা সন্দেহজনক ডিরেক্টরি থেকে ডিএলএল (DLL) বা অ-প্রমিত ফাইল এক্সটেনশন লোড হচ্ছে।
• %temp% ফোল্ডার থেকে উদ্ভূত প্রক্রিয়া কার্যকলাপ
• রেজিস্ট্রি রান কী বা রিমোটঅ্যাক্সেস পরিষেবা কনফিগারেশনে অননুমোদিত পরিবর্তন
• স্যান্ডবক্স শনাক্তকরণ এড়াতে পিং-ভিত্তিক বিলম্বের ব্যবহার
• অস্বাভাবিক ডিএনএস ট্র্যাফিক প্যাটার্ন এবং সিস্টেম হোস্ট ফাইলে অপ্রত্যাশিত পরিবর্তন

এই অত্যাধুনিক দ্বৈত-হুমকির ম্যালওয়্যার প্রচারণার দ্বারা সৃষ্ট ঝুঁকি প্রশমিত করার জন্য এই সংকেতগুলোর সক্রিয় পর্যবেক্ষণ এবং দ্রুত প্রতিক্রিয়া অত্যন্ত গুরুত্বপূর্ণ।