ফ্লাটারশেল ম্যাকওএস ব্যাকডোর

সাইবার নিরাপত্তা গবেষকরা ‘অপারেশন ফ্লাটারব্রিজ’ নামে পরিচিত একটি বৃহৎ আকারের ম্যাকওএস ম্যালভারটাইজিং অপারেশন উন্মোচন করেছেন, যা ফ্লাটারশেল নামক একটি নতুন শনাক্তকৃত ব্যাকডোর বিতরণের জন্য দায়ী। এই অভিযানটি এমন একটি হুমকি গুচ্ছের সর্বশেষ বিবর্তন, যা পূর্বে জেএসকোররানার (ফাইলরিপল নামেও পরিচিত) এর সাথে যুক্ত ছিল। এই ক্ষতিকারক কার্যকলাপটি প্রথম ২০২৫ সালের আগস্ট মাসে নথিভুক্ত করা হয়েছিল।

উভয় আক্রমণ শৃঙ্খলের পেছনের সাইবার অপরাধী গোষ্ঠীটি CL-CRI-1089 নামে পরিচিত এবং ধারণা করা হয় যে এটি অন্তত ২০২৩ সাল থেকে সক্রিয় রয়েছে। নিরাপত্তা বিশ্লেষকরা ফ্লাটারশেলকে এই গোষ্ঠীর সক্ষমতা ও অবকাঠামোর ক্ষেত্রে একটি উল্লেখযোগ্য অগ্রগতি হিসেবে দেখছেন।

অ্যাডওয়্যার থেকে সম্পূর্ণ ব্যাকডোর কার্যকারিতা পর্যন্ত

গুগলের ফ্লাটার ফ্রেমওয়ার্ক ব্যবহার করে তৈরি ফ্লাটারশেল, ক্ষতিকর ডেস্কটপ অ্যাপ্লিকেশনের মাধ্যমে ছড়ায় যা প্রাথমিকভাবে বৈধ বলে মনে হয়। যদিও এই ম্যালওয়্যারে অ্যাডওয়্যারের কার্যকারিতা রয়েছে, এর ক্ষমতা অনাকাঙ্ক্ষিত বিজ্ঞাপনের চেয়েও অনেক বেশি বিস্তৃত।

ম্যালওয়্যারটি যা করতে পারে:

• সংক্রমিত সিস্টেমে যথেচ্ছ শেল কমান্ড চালান।
• ফাইল সিস্টেমের মধ্যে থাকা ফাইলগুলোর সাথে মিথস্ক্রিয়া করুন এবং সেগুলোকে নিয়ন্ত্রণ করুন।
• পরিবেশগত ভেরিয়েবল এবং সিস্টেমের তথ্য পাচার করুন।
• সিস্টেম ফিঙ্গারপ্রিন্টিং পরিচালনা করুন।
• ব্রাউজার সেশন ডেটা চুরি করুন।

গবেষকরা ২০২৬ সালের মার্চ মাস পর্যন্ত ফ্লাটারশেল-সম্পর্কিত ক্ষতিকারক কার্যকলাপ লক্ষ্য করেছেন, যা ইঙ্গিত দেয় যে এই প্রচারণাটি এখনও সক্রিয় রয়েছে।

টেম্পার্ডশেফ-এর সাথে যুক্ত একটি ক্রমবর্ধমান ম্যালওয়্যার ইকোসিস্টেম

ফ্লাটারশেল কোনো বিচ্ছিন্ন হুমকি নয়। CL-CRI-1089-এর সাথে সম্পর্কিত অপারেশনগুলোর মধ্যে রেসিপি লিস্টার এবং ক্যালেন্ডারোম্যাটিকও অন্তর্ভুক্ত, উভয়ই বৃহত্তর ট্যাম্পার্ডশেফ ক্যাম্পেইনের সাথে যুক্ত, যা ইভিলএআই (EvilAI) নামেও পরিচিত।

টেম্পার্ডশেফ ক্যাম্পেইনগুলো সম্ভাব্য অবাঞ্ছিত প্রোগ্রাম (PUPs) এবং অ্যাডওয়্যার ছড়ানোর জন্য ট্রোজানযুক্ত প্রোডাক্টিভিটি অ্যাপ্লিকেশন ব্যবহার করে। এই ক্ষতিকারক অ্যাপ্লিকেশনগুলো প্রতারণামূলক বিজ্ঞাপন প্রচারণার মাধ্যমে প্রচার করা হয়, যা ব্যবহারকারীদের এটা বিশ্বাস করাতে চায় যে তারা বৈধ সফটওয়্যার টুল ডাউনলোড করছেন।

শেল কোম্পানি দ্বারা চালিত বিদ্বেষপূর্ণ বিজ্ঞাপন

এই অপারেশনের একটি মূল উপাদান হলো একটি বিস্তৃত ম্যালভারটাইজিং নেটওয়ার্ক, যা গুগল এবং ইউটিউবের বিজ্ঞাপনকে কাজে লাগায়। আক্রমণকারীরা ক্ষতিকারক বিজ্ঞাপন প্রকাশ ও প্রচার করার জন্য গুগল-স্বীকৃত একাধিক শেল কোম্পানি ব্যবহার করে, যা তাদের প্রচারণার বিশ্বাসযোগ্যতা বাড়ায় এবং বিজ্ঞাপন প্ল্যাটফর্মের নজরদারি এড়াতে সাহায্য করে।

এই অপারেশনের সাথে যুক্ত কোম্পানিগুলোর মধ্যে রয়েছে:

AdsParkPro LTD, Advantage Web Marketing LLC, এবং SOFT WE ART LIMITED (বর্তমানে PACIFIC TRADE SOLUTIONS LTD নামে পরিচালিত)।
ইউকন্ট্রোল এবং যুক্তরাজ্যের কোম্পানিজ হাউস রেজিস্ট্রি থেকে প্রাপ্ত অতিরিক্ত নথিপত্র এই সংস্থাগুলোর সঙ্গে ইউক্রেনীয় ব্যক্তিদের সংযোগের ইঙ্গিত দেয়।

বিজ্ঞাপনগুলো মূলত মার্কিন যুক্তরাষ্ট্র, কানাডা, অস্ট্রেলিয়া, ফ্রান্স এবং জার্মানিতে অবস্থিত ম্যাকওএস ব্যবহারকারীদের লক্ষ্য করে তৈরি। যদিও সংশ্লিষ্ট গুগল অ্যাডস অ্যাকাউন্টগুলো এখন আর গুগল অ্যাডস ট্রান্সপারেন্সি সেন্টারের মাধ্যমে অ্যাক্সেসযোগ্য নয়, ঐতিহাসিক রেকর্ডগুলো জড়িত সত্তাগুলোর মধ্যে সংযোগ প্রকাশ করে চলেছে।

বিশ্বস্ত অ্যাপ্লিকেশনের মাধ্যমে ব্রাউজার হাইজ্যাকিং

একবার চালু হলে, ফ্লাটারশেল গুগল ক্রোমের কনফিগারেশন ফাইলগুলো পরিবর্তন করে ব্রাউজারের সমস্ত ট্র্যাফিককে আক্রমণকারী-নিয়ন্ত্রিত বিজ্ঞাপনে ভরা মধ্যবর্তী ওয়েবসাইটের মাধ্যমে পুনঃনির্দেশিত করে। ব্রাউজার হাইজ্যাকিংয়ের এই কৌশলটি ব্যবহারকারীর ব্রাউজিং কার্যকলাপের উপর নিয়ন্ত্রণ বজায় রেখে হুমকিদাতাদের রাজস্ব আয় করতে সক্ষম করে।

বিশেষভাবে উদ্বেগজনক বিষয়টি হলো, বিশ্লেষণ করা প্রতিটি নমুনাই বৈধ অ্যাপল ডেভেলপার আইডি ব্যবহার করে স্বাক্ষরিত হয়েছিল এবং অ্যাপলের নোটারাইজেশন প্রক্রিয়া সফলভাবে সম্পন্ন করেছিল। ফলে, জমা দেওয়ার সময় অ্যাপলের স্বয়ংক্রিয় নিরাপত্তা ব্যবস্থা অ্যাপ্লিকেশনগুলোকে ক্ষতিকর হিসেবে শনাক্ত করতে পারেনি।

ওয়েবভিউ আর্কিটেকচার ম্যালওয়্যারের গতিশীল বিবর্তনকে সক্ষম করে

ফ্লাটারশেলের অন্যতম স্বতন্ত্র বৈশিষ্ট্য হলো এর ওয়েবভিউ-ভিত্তিক আর্কিটেকচারের ব্যবহার, যা জাভাস্ক্রিপ্ট ও নেটিভ কোডের মধ্যে যোগাযোগের একটি সেতুবন্ধনের সাথে যুক্ত। এই মডেলে, অ্যাপ্লিকেশনটি একটি ব্রাউজার কম্পোনেন্টকে এমবেড করে যা ওয়েব কন্টেন্ট প্রদর্শন করে এবং একই সাথে জাভাস্ক্রিপ্ট কোডকে সরাসরি নেটিভ সিস্টেম ফাংশনগুলোর সাথে যোগাযোগ করার সুযোগ দেয়।

অ্যাপ্লিকেশন বাইনারিতে সরাসরি ক্ষতিকারক লজিক যুক্ত করার পরিবর্তে, আক্রমণকারীরা ম্যালওয়্যারের কার্যকারিতার একটি উল্লেখযোগ্য অংশ তাদের নিয়ন্ত্রণে থাকা দূরবর্তী ওয়েবসাইটগুলিতে হোস্ট করে। এই পদ্ধতির বেশ কিছু সুবিধা রয়েছে:

অ্যাপ্লিকেশনটি পুনরায় কম্পাইল না করেই ম্যালওয়্যারের আচরণ রিয়েল টাইমে পরিবর্তন করা যেতে পারে।
আপডেট করা ম্যালওয়্যার বাইনারি বিতরণ না করেই নতুন কার্যকারিতা চালু করা যেতে পারে।
শনাক্তকরণ আরও কঠিন হয়ে পড়ে, কারণ মূল ক্ষতিকারক কার্যপ্রণালী ইনস্টল করা অ্যাপ্লিকেশনের বাইরে অবস্থান করে।

এই স্থাপত্যশৈলী আক্রমণকারীদের অসাধারণ নমনীয়তা দেয় এবং প্রতিরক্ষামূলক ব্যবস্থার সাথে দ্রুত মানিয়ে নেওয়ার সুযোগ করে দেয়।

একাধিক রূপ সক্রিয় বিকাশের ইঙ্গিত দেয়

গবেষকরা তিনটি পরিচিত ফ্লাটারশেল ভ্যারিয়েন্ট শনাক্ত করেছেন: পডকাস্টসলাউঞ্জ, পিডিএফ-ব্রেইন এবং পিডিএফ-নিনজা। আক্রমণকারীদের পরিকাঠামো বিশ্লেষণে অসম্পূর্ণ জাভাস্ক্রিপ্ট ফাংশন এবং অসমাপ্ত কোড উপাদান পাওয়া গেছে, যা থেকে বোঝা যায় যে এর উন্নয়ন কাজ চলমান রয়েছে।

এর বেশ কয়েকটি সংস্করণ, বিশেষ করে পিডিএফ-ব্রেইন এবং পিডিএফ-নিঞ্জা, কৃত্রিম বুদ্ধিমত্তা-চালিত ডকুমেন্ট সারাংশ তৈরির বৈশিষ্ট্য অন্তর্ভুক্ত করে। তবে, সারাংশ তৈরির জন্য জমা দেওয়া ডকুমেন্টগুলো প্রক্রিয়াকরণের আগে প্রথমে আক্রমণকারী-নিয়ন্ত্রিত সার্ভারের মাধ্যমে পাঠানো হয়, যা ক্ষতিগ্রস্ত ব্যবহারকারীদের জন্য গুরুতর গোপনীয়তা এবং নিরাপত্তা উদ্বেগ তৈরি করে।

পূর্ববর্তী প্রচারাভিযানের সাথে শক্তিশালী প্রযুক্তিগত সংযোগ

ফ্লাটারশেলের সাথে CL-CRI-1089-এর সাথে যুক্ত পূর্ববর্তী ম্যালওয়্যার পরিবারগুলোর, বিশেষ করে ক্যালেন্ডারোমেটিক এবং রেসিপি লিস্টারের, উল্লেখযোগ্য মিল রয়েছে। সবচেয়ে সুস্পষ্ট মিলটি হলো উভয়েরই ওয়েবভিউ-ভিত্তিক আর্কিটেকচার, যা স্থাপনের পর ক্ষতিকারক পেলোডগুলোকে গতিশীলভাবে পরিবর্তন করতে সক্ষম করে।

তদন্তকারীরা আরও দেখেছেন যে, অ্যাডভান্টেজ ওয়েব মার্কেটিং এলএলসি শুধু ক্ষতিকর বিজ্ঞাপন বিতরণেই অংশ নেয়নি, বরং একই হুমকি ক্লাস্টারের সাথে যুক্ত উইন্ডোজ-ভিত্তিক অ্যাডওয়্যার স্যাম্পলগুলোর জন্য স্বাক্ষরকারী সত্তা হিসেবেও কাজ করেছে। এই পর্যবেক্ষণগুলো বিভিন্ন ক্যাম্পেইনের মধ্যকার সংযোগকে আরও শক্তিশালী করে।

একটি অবিরাম এবং ক্রমবর্ধমান হুমকির প্রেক্ষাপট

JSCoreRunner থেকে FlutterShell-এ রূপান্তরটি CL-CRI-1089 কর্তৃক প্রযুক্তিগত উৎকর্ষের একটি উল্লেখযোগ্য বৃদ্ধি প্রদর্শন করে। উন্নত ম্যালওয়্যার উন্নয়ন, বৃহৎ পরিসরের ম্যালভার্টাইজিং কার্যক্রম এবং বিজ্ঞাপন প্ল্যাটফর্মের নিয়ন্ত্রণ এড়ানোর জন্য যাচাইকৃত শেল কোম্পানি ব্যবহারের সমন্বয়টি গোষ্ঠীটির কৌশলের ক্রমবর্ধমান কার্যকারিতা তুলে ধরে।

একাধিক ছদ্মবেশী সংস্থার সমন্বিত ব্যবহার এবং ফ্লাটারশেলের নতুন সংস্করণগুলোর দ্রুত আবির্ভাব ইঙ্গিত দেয় যে, ‘অপারেশন ফ্লাটারব্রিজ’ এখনও একটি সক্রিয় ও ক্রমবিকাশমান হুমকি। নিরাপত্তা গবেষকরা সতর্ক করেছেন যে, এই অভিযান এখনও শেষ হয়নি এবং বিশ্বজুড়ে ম্যাকওএস ব্যবহারকারীদের লক্ষ্যবস্তু করতে এটি তার কৌশল পরিবর্তন করে চলতে পারে।