ফাইলফিক্স সোশ্যাল ইঞ্জিনিয়ারিং আক্রমণ
গবেষকরা সম্প্রতি একটি ফিশিং প্রচারণা আবিষ্কার করেছেন যা StealC তথ্য চুরিকারী সরবরাহ করার জন্য FileFix সোশ্যাল-ইঞ্জিনিয়ারিং কৌশলের একটি রূপ ব্যবহার করে। এই প্রচারণাটি একটি পালিশ করা, বহুভাষিক জাল সাইট (যার উদাহরণগুলিতে একটি জাল 'ফেসবুক সিকিউরিটি' পৃষ্ঠা রয়েছে), ভারী অস্পষ্টতা এবং বিশ্লেষণ-বিরোধী কৌশল এবং একটি অস্বাভাবিক পেলোড ডেলিভারি চেইনের উপর নির্ভর করে যা সনাক্তকরণ এড়াতে বৈধ পরিষেবাগুলির অপব্যবহার করে।
সুচিপত্র
কীভাবে ভুক্তভোগীদের প্রলুব্ধ করা হয়
আক্রমণটি সাধারণত একটি ইমেল দিয়ে শুরু হয় যেখানে প্রাপকদের বলা হয় যে তাদের ফেসবুক অ্যাকাউন্ট নীতি লঙ্ঘনের অভিযোগে স্থগিত হওয়ার ঝুঁকিতে রয়েছে এবং তাদের আপিল করার আহ্বান জানানো হয়। আপিল লিঙ্কে ক্লিক করলে ব্যবহারকারী একটি বিশ্বাসযোগ্য ফিশিং পৃষ্ঠায় পুনঃনির্দেশিত হয়। সেই পৃষ্ঠাটি অনুমিত লঙ্ঘনের একটি পিডিএফ ফাইলের প্রতিশ্রুতি দেয় এবং ব্যবহারকারীকে ফাইল এক্সপ্লোরারে একটি পাথ কপি-পেস্ট করে অ্যাক্সেস করার নির্দেশ দেয়, কিন্তু বন্ধুত্বপূর্ণ নির্দেশটি একটি কৌশল।
ফাইলফিক্স কৌশল
স্থানীয়ভাবে কোড কার্যকর করার ক্ষেত্রে ফাইলফিক্স একই ধরণের কৌশল থেকে আলাদা। ভুক্তভোগীদের রান ডায়ালগ খুলতে এবং একটি কমান্ড পেস্ট করতে বলার পরিবর্তে, ফাইলফিক্স ব্রাউজারের ফাইল-আপলোড / কপি কার্যকারিতার অপব্যবহার করে যাতে ভুক্তভোগীরা ফাইল এক্সপ্লোরার ঠিকানা বারে একটি স্ট্রিং পেস্ট করে। দৃশ্যমান টেক্সটটি একটি নিরীহ ফাইল পাথের মতো দেখায়, কিন্তু ক্লিপবোর্ডে আসলে একটি ক্ষতিকারক মাল্টি-স্টেজ পাওয়ারশেল কমান্ড রয়েছে যার পিছনে স্পেস রয়েছে তাই পেস্ট করার সময় কেবল ক্ষতিকারক পাথটি প্রদর্শিত হয়। যখন ভুক্তভোগী ফাইল এক্সপ্লোরার খুলে পেস্ট করে, তখন লুকানো কমান্ড স্থানীয়ভাবে কার্যকর হয়।
আক্রমণ শৃঙ্খল
ব্যবহারকারীকে একটি ফিশিং ইমেল থেকে একটি অত্যন্ত অস্পষ্ট বহুভাষিক জাল সাইটে পুনঃনির্দেশিত করা হয়।
- সাইটের বোতামে ক্লিক করলে FileFix প্রবাহ শুরু হয় এবং ক্লিপবোর্ডটি একটি লুকানো PowerShell কমান্ড দিয়ে পূর্ণ হয়ে যায়।
- পাওয়ারশেল স্ক্রিপ্টটি বিটবাকেট রিপোজিটরি থেকে আপাতদৃষ্টিতে সৌম্য ছবি ডাউনলোড করে।
- ছবিগুলি পরবর্তী পর্যায়ের পেলোডে ডিকোড করা হয়।
- একটি Go-ভিত্তিক লোডার কার্যকর করা হয়, শেলকোড আনপ্যাক করে এবং অবশেষে StealC তথ্য-চুরিকারী চালু করে।
বিশ্বস্ত হোস্টিং পরিষেবার অপব্যবহার
অপারেটররা বিটবাকেট রিপোজিটরিতে ছবির ভিতরে এনকোডেড পেলোড হোস্ট করে। একটি স্বনামধন্য সোর্স-কোড হোস্টিং প্ল্যাটফর্ম ব্যবহার করলে আক্রমণকারীদের বৈধ অনুরোধে ট্র্যাফিক লুকিয়ে রাখতে সাহায্য করে এবং গন্তব্যের সুনামের উপর ভিত্তি করে স্বয়ংক্রিয়ভাবে ব্লক করার সম্ভাবনা হ্রাস পায়।
অস্পষ্টতা এবং বিশ্লেষণ-বিরোধী কৌশল
ফিশিং পেজ এবং স্ক্রিপ্টগুলি সহজ নয়: অপারেটররা মানব বিশ্লেষক এবং স্বয়ংক্রিয় স্ক্যানারদের হতাশ করার জন্য উন্নত অস্পষ্টতা, ফ্র্যাগমেন্টেশন এবং জাঙ্ক কোড ব্যবহার করেছিল। পরিকাঠামো বহুভাষিক এবং পালিশ করা হয়েছে, যা অ-ইংরেজি ভাষাভাষীদের প্রতারণা করার এবং সাইটটিকে খাঁটি দেখানোর সম্ভাবনা বাড়িয়ে তোলে।
ফাইলফিক্স বনাম ক্লিকফিক্স
ফাইলফিক্স ব্রাউজারে ফাইল-আপলোড/কপি প্রবাহের অপব্যবহার করে, তাই ভুক্তভোগীরা রান ডায়ালগ চালু করার পরিবর্তে ফাইল এক্সপ্লোরারের ঠিকানা বারে পেস্ট করে।
ClickFix-এর জন্য Run ডায়ালগে (অথবা macOS-এর টার্মিনালে) পেস্ট করতে হবে এবং এটি Explorer.exe অথবা একটি টার্মিনাল সেশন থেকে তৈরি।
ব্যবহারিক প্রভাব : ফাইলফিক্স রান ডায়ালগের ব্যবহারকে ব্লক করে এমন প্রতিরক্ষাগুলিকে বাইপাস করতে পারে, কারণ এটি পরিবর্তে একটি বহুল ব্যবহৃত ব্রাউজার বৈশিষ্ট্য ব্যবহার করে।
সনাক্তকরণের সূক্ষ্মতা : যেহেতু FileFix-এ ভিকটিম ব্যক্তির ব্রাউজার এক্সিকিউশন চেইন ট্রিগার করে, তাই ClickFix-এর ব্যবহৃত রান-ডায়ালগের তুলনায় এন্ডপয়েন্ট মনিটরিং বা ঘটনা তদন্তে কার্যকলাপটি বেশি দৃশ্যমান হতে পারে — তবে এটি এখনও প্রতারণার মাধ্যমে অনেক শেষ-ব্যবহারকারী সুরক্ষাকে পরাজিত করে।
হুমকি অভিনেতার বিকশিত কৌশল
এই অভিযানটি একটি সুচিন্তিত, সুসম্পর্কিত পদ্ধতির প্রদর্শন করে: সাবধানে তৈরি ফিশিং অবকাঠামো, বহু-পর্যায়ের পেলোড ডিজাইন এবং স্টিলথ এবং অপারেশনাল নাগাল উভয়ই সর্বাধিক করার জন্য বিশ্বস্ত তৃতীয়-পক্ষের হোস্টিং ব্যবহার। প্রতিপক্ষের কৌশল ইঙ্গিত দেয় যে তারা জেনেরিক সনাক্তকরণ এড়াতে এবং বিভিন্ন লক্ষ্যবস্তুতে নির্ভরযোগ্য বাস্তবায়ন অর্জনের পরিকল্পনা করেছিল।
