EDDIESTEALER ম্যালওয়্যার

একটি নতুন ম্যালওয়্যার প্রচারণা আবির্ভূত হয়েছে, যা EDDIESTEALER নামে পরিচিত একটি উন্নত রাস্ট-ভিত্তিক তথ্য চুরিকারীকে বিতরণ করছে। ClickFix নামক একটি চতুর সামাজিক প্রকৌশল কৌশল ব্যবহার করে, আক্রমণকারীরা জাল CAPTCHA যাচাইকরণ পৃষ্ঠাগুলির মাধ্যমে ব্যবহারকারীদের ক্ষতিকারক স্ক্রিপ্টগুলি কার্যকর করার জন্য প্রলুব্ধ করে। একবার সক্রিয় হয়ে গেলে, EDDIESTEALER শংসাপত্র, ব্রাউজার ডেটা এবং ক্রিপ্টোকারেন্সি ওয়ালেটের বিবরণের মতো সংবেদনশীল ডেটা সংগ্রহ করে।

সংক্রমণ শৃঙ্খল: ভুয়া ক্যাপচা থেকে সম্পূর্ণ তথ্য চুরিকারী

আক্রমণটি শুরু হয় বৈধ ওয়েবসাইটগুলিকে ক্ষতিকারক জাভাস্ক্রিপ্ট পেলোড দিয়ে আপস করার মাধ্যমে। দর্শনার্থীদের একটি জাল ক্যাপচা পৃষ্ঠা দেখানো হয় যেখানে তাদের তিন-পদক্ষেপের প্রক্রিয়ার মাধ্যমে "আপনি রোবট নন" প্রমাণ করতে বলা হয়।
প্রক্রিয়াটিতে জড়িত:

• উইন্ডোজ রান ডায়ালগ খোলা হচ্ছে।
• একটি প্রি-কপি করা কমান্ড পেস্ট করা হচ্ছে।
• নিজেদের যাচাই করার জন্য এটি কার্যকর করা।

এই আপাতদৃষ্টিতে নিরীহ কাজটি একটি অস্পষ্ট PowerShell কমান্ডকে ট্রিগার করে যা একটি দূরবর্তী সার্ভার (llll[.]fit) থেকে পরবর্তী পর্যায়ের পেলোড আনে।

পেলোড স্থাপন এবং গোপনে সম্পাদন

ক্ষতিকারক জাভাস্ক্রিপ্ট (gverify.js) ভুক্তভোগীর ডাউনলোড ফোল্ডারে সংরক্ষণ করা হয় এবং cscript ব্যবহার করে নীরবে কার্যকর করা হয়। এই মধ্যবর্তী স্ক্রিপ্টের ভূমিকা হল একই রিমোট সার্ভার থেকে EDDIESTEALER বাইনারি পুনরুদ্ধার করা, এটি ডাউনলোড ফোল্ডারে একটি র্যান্ডম 12-অক্ষরের ফাইলের নাম দিয়ে সংরক্ষণ করা।

EDDIESTEALER ম্যালওয়্যার নিম্নলিখিত কাজ করতে সক্ষম:

• সিস্টেম মেটাডেটা সংগ্রহ করুন।
• একটি কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভার থেকে নির্দেশাবলী গ্রহণ করুন।
• সংক্রামিত সিস্টেম থেকে ডেটা এক্সফিল্ট্রেট করুন, যার মধ্যে রয়েছে ব্রাউজার ডেটা, ক্রিপ্টোকারেন্সি ওয়ালেট, পাসওয়ার্ড ম্যানেজার, FTP ক্লায়েন্ট এবং মেসেজিং অ্যাপ।

C2 অপারেটর দ্বারা লক্ষ্যগুলি সামঞ্জস্য করা যেতে পারে। ফাইল অ্যাক্সেস স্ট্যান্ডার্ড kernel32.dll ফাংশন যেমন CreateFileW, GetFileSizeEx, ReadFile এবং CloseHandle ব্যবহার করে পরিচালিত হয়।

ডেটা এক্সফিল্ট্রেশন এবং অ্যান্টি-অ্যানালাইসিস বৈশিষ্ট্য

প্রতিটি কাজের পরে, সংগৃহীত ডেটা এনক্রিপ্ট করা হয় এবং পৃথক HTTP POST অনুরোধের মাধ্যমে C2 সার্ভারে পাঠানো হয়। নজরদারির আওতায় থাকার জন্য, ম্যালওয়্যারটি ব্যবহার করে:

• স্ট্রিং এনক্রিপশন।

EDDIESTEALER এমনকি NTFS Alternate Data Streams নাম পরিবর্তন করেও নিজেকে মুছে ফেলতে পারে, যা Latrodectus ম্যালওয়্যার দ্বারা ব্যবহৃত কৌশলগুলির অনুরূপ, ফাইল লকগুলিকে বাইপাস করার জন্য।

ChromeKatz এর সাথে Chromium এক্সপ্লোইটেশন

এই ম্যালওয়্যারের সবচেয়ে উদ্বেগজনক বৈশিষ্ট্যগুলির মধ্যে একটি হল Chromium-এর অ্যাপ-বাউন্ড এনক্রিপশনকে বাইপাস করার ক্ষমতা। এটি ChromeKatz-এর একটি Rust বাস্তবায়নকে একীভূত করে, যা Chromium-ভিত্তিক ব্রাউজার থেকে কুকিজ এবং শংসাপত্র ডাম্প করার জন্য ডিজাইন করা একটি ওপেন-সোর্স টুল।

যদি লক্ষ্যযুক্ত ব্রাউজারটি চালু না থাকে, তাহলে EDDIESTEALER '--window-position=-3000,-3000 https://google.com' কমান্ড ব্যবহার করে একটি লুকানো ব্রাউজার ইনস্ট্যান্স চালু করে। এটি এটিকে '-utility-sub-type=network.mojom. NetworkService' চাইল্ড প্রক্রিয়ার সাথে সম্পর্কিত মেমরি অ্যাক্সেস করার অনুমতি দেয়, অবশেষে শংসাপত্রগুলি বের করে।

আপডেট করা ভেরিয়েন্টগুলিতে বর্ধিত ক্ষমতা

EDDIESTEALER এর সাম্প্রতিক সংস্করণগুলিও সংগ্রহ করতে পারে:

• চলমান প্রক্রিয়া।
• জিপিইউর বিবরণ।
• সিপিইউ কোরের সংখ্যা, সিপিইউর নাম এবং বিক্রেতা।
• সিস্টেম তথ্য (টাস্ক কনফিগারেশনের আগেই সার্ভারে পাঠানো হয়েছে)।

অতিরিক্তভাবে, ক্লায়েন্ট-টু-সার্ভার যোগাযোগের জন্য ব্যবহৃত এনক্রিপশন কীটি বাইনারিতে হার্ড-কোড করা হয়, যা অপারেশনাল নিরাপত্তা বৃদ্ধি করে। চুরিকারী '--remote-debugging-port=' দিয়ে একটি নতুন Chrome প্রক্রিয়াও চালু করতে পারে যাতে DevTools প্রোটোকলের মাধ্যমে হেডলেস ব্রাউজার ইন্টারঅ্যাকশন সক্ষম করা যায়, কোনও ব্যবহারকারীর ইন্টারঅ্যাকশনের প্রয়োজন হয় না।

ক্রস-প্ল্যাটফর্ম ক্লিকফিক্স ক্যাম্পেইন

EDDIESTEALER-এর জন্য রাস্টের ব্যবহার ম্যালওয়্যার ডেভেলপারদের মধ্যে ক্রমবর্ধমান প্রবণতা তুলে ধরে, যারা গোপন, স্থিতিশীল এবং সনাক্তকরণ এড়াতে আধুনিক ভাষার বৈশিষ্ট্যগুলিকে কাজে লাগায়।

এই প্রচারণাটি আক্রমণকারীদের একাধিক প্ল্যাটফর্ম জুড়ে ClickFix কৌশল ব্যবহার করার একটি বৃহত্তর প্রচেষ্টার অংশ। c/side-এর গবেষকরা macOS, Android এবং iOS-কে লক্ষ্য করে একই ধরণের আক্রমণ লক্ষ্য করেছেন। macOS-এর জন্য, ক্ষতিকারক জাভাস্ক্রিপ্ট একটি পৃষ্ঠায় পুনঃনির্দেশিত করে যেখানে শিকারদের একটি টার্মিনাল শেল স্ক্রিপ্ট চালানোর নির্দেশ দেওয়া হয়, যা Atomic macOS Stealer (AMOS) ব্যবহার করে।

অ্যান্ড্রয়েড, আইওএস এবং উইন্ডোজ ব্যবহারকারীদের জন্য, একটি ড্রাইভ-বাই ডাউনলোড স্কিম একটি পৃথক ট্রোজান ম্যালওয়্যার স্থাপন করে, যা এটিকে একটি অত্যন্ত বহুমুখী এবং ক্রস-প্ল্যাটফর্ম হুমকি করে তোলে।

উপসংহার

EDDIESTEALER ক্যাম্পেইনটি অত্যাধুনিক ম্যালওয়্যার ডেভেলপমেন্টের সাথে মিলিত হয়ে সোশ্যাল ইঞ্জিনিয়ারিংয়ের কার্যকারিতা প্রদর্শন করে। এর উন্নত রাস্ট-ভিত্তিক কোর, ক্রস-প্ল্যাটফর্ম অভিযোজনযোগ্যতা এবং ব্রাউজার সুরক্ষা বাইপাস করার ক্ষমতা প্রতিষ্ঠান এবং ব্যক্তিদের তাদের সাইবার নিরাপত্তার ক্ষেত্রে সতর্ক এবং সক্রিয় থাকার ক্রমবর্ধমান প্রয়োজনীয়তা তুলে ধরে।