EVALUSION ক্লিকফিক্স ক্যাম্পেইন

সাইবার নিরাপত্তা বিশ্লেষকরা ব্যাপকভাবে ClickFix সোশ্যাল-ইঞ্জিনিয়ারিং পদ্ধতির উপর নির্ভর করে চলমান দূষিত কার্যকলাপের একটি তরঙ্গ আবিষ্কার করেছেন। EVALUSION নামে ট্র্যাক করা এই প্রচারণাটি Amatera Stealer এবং NetSupport RAT উভয় বিতরণের কৌশল ব্যবহার করে, যা ব্যাপক ডেটা চুরি এবং সংক্রামিত সিস্টেমে দূরবর্তী অ্যাক্সেস সক্ষম করে।

ACR থেকে Amatera: একজন চুরিকারীর বিবর্তন

২০২৫ সালের জুন মাসে Amatera-এর প্রথম লক্ষণ দেখা যায়, গবেষকরা এটিকে পূর্ববর্তী ACR (AcridRain) Stealer-এর সরাসরি উত্তরসূরি হিসেবে মূল্যায়ন করেন, যা পূর্বে একটি ম্যালওয়্যার-অ্যাজ-এ-সার্ভিস সাবস্ক্রিপশন মডেলের অধীনে পরিচালিত হত। ২০২৪ সালের জুলাইয়ের মাঝামাঝি সময়ে ACR বিক্রি বন্ধ হয়ে যাওয়ার পর, Amatera তার নিজস্ব স্তরযুক্ত মূল্য কাঠামো নিয়ে আবির্ভূত হয় যার মধ্যে প্রতি মাসে $১৯৯ থেকে প্রতি বছর $১,৪৯৯ পর্যন্ত ছিল, যা বিভিন্ন হুমকিদাতাদের কাছে এটি অ্যাক্সেসযোগ্য করে তোলে।

ব্যাপক চুরির জন্য তৈরি ক্ষমতা

Amatera বিভিন্ন ধরণের ব্যবহারকারীর তথ্যের ক্ষতি করার জন্য বিস্তৃত ডেটা সংগ্রহের বৈশিষ্ট্য অফার করে। এর লক্ষ্যবস্তু ক্রিপ্টো-ওয়ালেট, ব্রাউজার, মেসেজিং ক্লায়েন্ট, FTP ইউটিলিটি এবং ইমেল প্রোগ্রাম জুড়ে বিস্তৃত। সনাক্তকরণ এড়াতে, এটি WoW64 SysCall সহ উন্নত ফাঁকি কৌশল ব্যবহার করে, যা এটিকে স্যান্ডবক্স, AV ইঞ্জিন এবং EDR সমাধান দ্বারা ব্যবহৃত সাধারণ ব্যবহারকারী-মোড পর্যবেক্ষণ এড়াতে সহায়তা করে।

মূল তথ্য লক্ষ্যগুলির মধ্যে রয়েছে:

• ক্রিপ্টোকারেন্সি ওয়ালেট এবং এক্সটেনশন
• ওয়েব ব্রাউজার
• জনপ্রিয় মেসেজিং প্ল্যাটফর্মগুলি
• FTP ক্লায়েন্ট
• ইমেল অ্যাপ্লিকেশনগুলি

ক্লিকফিক্স অ্যাট ওয়ার্ক: সংক্রমণ প্রক্রিয়া

অনেক ClickFix পরিস্থিতিতে দেখা যায়, ভুয়া ফিশিং সাইটগুলিতে ভুয়া reCAPTCHA চ্যালেঞ্জ সম্পন্ন করার আড়ালে ভুক্তভোগীদের Windows Run ডায়ালগে একটি কমান্ড চালাতে রাজি করানো হয়। এই কমান্ডটি mshta.exe-এর সাথে একটি চেইন রিঅ্যাকশন ট্রিগার করে, যা একটি PowerShell স্ক্রিপ্ট কার্যকর করে। স্ক্রিপ্টটি MediaFire-এ হোস্ট করা একটি .NET বাইনারি পুনরুদ্ধার করে, যা পেলোড স্থাপনের জন্য মঞ্চ তৈরি করে।

পিওরক্রিপ্টার এবং এমএসবিল্ড: একটি গোপন ডেলিভারি চেইন

ডাউনলোড করা কম্পোনেন্টটি হল একটি Amatera Stealer DLL যা PureCrypter ব্যবহার করে লুকানো হয়, এটি একটি বহুমুখী C#-ভিত্তিক লোডার যা PureCoder নামে পরিচিত একটি ডেভেলপার দ্বারা MaaS পণ্য হিসাবেও বিক্রি করা হয়। একবার সক্রিয় হয়ে গেলে, DLL MSBuild.exe-তে ইনজেক্ট করা হয়, যা চুরিকারীকে ডেটা সংগ্রহ শুরু করতে দেয়। তারপর এটি একটি বহিরাগত সার্ভারে পৌঁছায় এবং NetSupport RAT ডাউনলোড এবং চালু করার জন্য একটি PowerShell কমান্ড কার্যকর করে।

এক্সিকিউশন লজিক নিম্নলিখিত ধাপগুলির মধ্য দিয়ে যায়:

• সিস্টেমটি কোন ডোমেনের অন্তর্গত কিনা তা পরীক্ষা করে।
• ক্রিপ্টো-ওয়ালেট ডেটার মতো সম্ভাব্য মূল্যবান ফাইলগুলি অনুসন্ধান করে
• এই শর্তগুলির মধ্যে একটি পূরণ হলেই NetSupport RAT স্থাপনার সাথে এগিয়ে যাওয়া সম্ভব।

সর্বাধিক প্রভাবের জন্য নির্বাচনী লক্ষ্যমাত্রা নির্ধারণ

Amatera-এর PowerShell রুটিনের আরও অস্বাভাবিক দিকগুলির মধ্যে একটি হল এর শর্তসাপেক্ষ যুক্তি। চুরিকারী মূল্যায়ন করে যে সংক্রামিত এন্ডপয়েন্টটি কোনও কর্পোরেট ডোমেনের অংশ কিনা নাকি উচ্চ-মূল্যের ডেটা ধারণ করে। যদি কোনও মানদণ্ড পূরণ না হয়, তাহলে NetSupport RAT ইচ্ছাকৃতভাবে আটকে রাখা হয়, যা ইঙ্গিত দেয় যে অপারেটররা সম্পদ সংরক্ষণ করতে এবং সর্বাধিক রিটার্ন প্রদানকারী সিস্টেমগুলিতে মনোনিবেশ করতে চায়।

এই লক্ষ্যবস্তু পদ্ধতি, ক্লিকফিক্স ম্যানিপুলেশন এবং একটি পরিমার্জিত ম্যালওয়্যার ইকোসিস্টেমের সাথে মিলিত হয়ে, আধুনিক সাইবার অপরাধ কার্যক্রমের ক্রমবর্ধমান পরিশীলিততার উপর জোর দেয়।