FrigidStealer Stealer
সাইবার নিরাপত্তা গবেষকরা একটি নতুন প্রচারণা আবিষ্কার করেছেন যা ফ্রিগিডস্টিলার নামে পরিচিত একটি অজ্ঞাত ম্যাকওএস হুমকি বিতরণের জন্য ওয়েব ইনজেক্ট ব্যবহার করে। এই প্রচারণাটি TA2727 নামে পরিচিত একজন হুমকি অভিনেতার সাথে যুক্ত, যিনি উইন্ডোজ (লুম্মা স্টিলার, ডিয়ারস্টিলার) এবং অ্যান্ড্রয়েড ( মার্চার ) লক্ষ্য করে তথ্য চুরির হুমকির সাথেও যুক্ত ছিলেন।
সুচিপত্র
TA2727 এবং হুমকির ক্ষেত্রে এর ভূমিকা
TA2727 বিভিন্ন ক্ষতিকারক পেলোড বিতরণের জন্য জাল আপডেট লোভ ব্যবহার করার জন্য পরিচিত। এটি TA2726 এর পাশাপাশি নতুন চিহ্নিত হুমকি ক্লাস্টারগুলির মধ্যে একটি, যা একটি ক্ষতিকারক ট্র্যাফিক বিতরণ ব্যবস্থা (TDS) পরিচালনা করার জন্য মূল্যায়ন করা হয়। এই সিস্টেমটি TA2727 এবং TA569 এর মতো হুমকি দাতাদের দিকে ঝুঁকিপূর্ণ ওয়েব ট্র্যাফিক নির্দেশ করে ম্যালওয়্যার ছড়িয়ে দিতে সক্ষম করে।
TA2726 এবং অন্যান্য হুমকি অভিনেতাদের মধ্যে সম্পর্ক
TA2726 ম্যালওয়্যার বিতরণে গুরুত্বপূর্ণ ভূমিকা পালন করে, TA2727 এবং TA569 উভয়ের জন্যই TDS হিসেবে কাজ করে। পরেরটি SocGholish (FakeUpdates নামেও পরিচিত) মোতায়েনের জন্য কুখ্যাত, যা একটি জাভাস্ক্রিপ্ট-ভিত্তিক লোডার যা ঝুঁকিপূর্ণ ওয়েবসাইটগুলিতে ব্রাউজার আপডেটের ছদ্মবেশে কাজ করে। কমপক্ষে 2022 সালের সেপ্টেম্বর থেকে, TA2726 এই আর্থিকভাবে অনুপ্রাণিত হুমকির জন্য ট্র্যাফিক পুনঃনির্দেশনা সহজতর করেছে, যা এটিকে সাইবার হুমকির ক্ষেত্রে একটি অপরিহার্য খেলোয়াড় করে তুলেছে।
ভুয়া আপডেট এবং জিও-টার্গেটেড পেলোড
TA2727 এবং TA569 উভয়ই তাদের হুমকি দূষিত জাভাস্ক্রিপ্ট ইনজেক্ট করা ওয়েবসাইটগুলির মাধ্যমে বিতরণ করে। এই ঝুঁকিপূর্ণ সাইটগুলি ব্যবহারকারীদের প্রতারণা করে গুগল ক্রোম বা মাইক্রোসফ্ট এজের জন্য জাল ব্রাউজার আপডেট ডাউনলোড করতে বাধ্য করে। তবে, TA2727 আরও উপযুক্ত পদ্ধতি ব্যবহার করে, প্রাপকের অবস্থান এবং ডিভাইসের ধরণের উপর ভিত্তি করে নির্দিষ্ট ম্যালওয়্যার সরবরাহ করে।
উদাহরণস্বরূপ, যদি ফ্রান্স বা যুক্তরাজ্যের কোনও উইন্ডোজ ব্যবহারকারী কোনও সংক্রামিত ওয়েবসাইট পরিদর্শন করেন, তাহলে তাদের একটি MSI ইনস্টলার ফাইল ডাউনলোড করতে বলা হতে পারে যা হাইজ্যাক লোডার (DOILoader) চালু করে, যা পরে লুম্মা স্টিলার সরবরাহ করে। একইভাবে, একই স্কিমের মাধ্যমে পুনঃনির্দেশিত অ্যান্ড্রয়েড ব্যবহারকারীরা অজান্তেই মার্চার ডাউনলোড করতে পারেন, একটি কুখ্যাত ব্যাংকিং ট্রোজান যা এক দশকেরও বেশি সময় ধরে সক্রিয়।
ম্যাকওএস ব্যবহারকারীদের কাছে আক্রমণ সম্প্রসারণ করা হচ্ছে
২০২৫ সালের জানুয়ারী থেকে, TA2727 উত্তর আমেরিকার বাইরে বসবাসকারী macOS ব্যবহারকারীদের লক্ষ্য করে তার প্রচারণা সম্প্রসারিত করেছে। এই ব্যবহারকারীদের প্রতারণামূলক আপডেট পৃষ্ঠাগুলিতে পুনঃনির্দেশিত করা হয় যা নতুনভাবে চিহ্নিত তথ্য চুরিকারী, FrigidStealer ডাউনলোডের সূত্রপাত করে।
অ্যাপলের গেটকিপার নিরাপত্তা বৈশিষ্ট্যকে বাইপাস করার জন্য, FrigidStealer ইনস্টলার ব্যবহারকারীদের স্বাক্ষরবিহীন অ্যাপ্লিকেশনটি ম্যানুয়ালি চালু করতে বাধ্য করে। একবার কার্যকর করা হলে, এমবেডেড Mach-O এক্সিকিউটেবল হুমকিটি ইনস্টল করে, যা macOS-লক্ষ্যযুক্ত সাইবার অপরাধের ক্ষেত্রে উল্লেখযোগ্য বৃদ্ধি চিহ্নিত করে।
ফ্রিগিডস্টিলার কীভাবে কাজ করে
FrigidStealer Go প্রোগ্রামিং ভাষা ব্যবহার করে তৈরি করা হয়েছে এবং এতে অ্যাড-হক সাইনিং সুবিধা রয়েছে। উল্লেখযোগ্যভাবে, এটি WailsIO প্রকল্প ব্যবহার করে, যা ব্যবহারকারীর ব্রাউজারের মধ্যে কন্টেন্ট রেন্ডারিং সক্ষম করে। এই কৌশলটি ক্ষতিকারক ইনস্টলারটি বৈধ বলে এই ভ্রমকে আরও বাড়িয়ে তোলে, সফল সংক্রমণের সম্ভাবনা বৃদ্ধি করে।
একবার কার্যকর করার পরে, FrigidStealer ব্যবহারকারীর সিস্টেম পাসওয়ার্ডের জন্য অনুরোধ করার জন্য AppleScript ব্যবহার করে, এটিকে উন্নত সুবিধা প্রদান করে। এই অ্যাক্সেসের মাধ্যমে, হুমকি ফাইল, সংবেদনশীল ব্রাউজার ডেটা, Apple Notes এবং ক্রিপ্টোকারেন্সি-সম্পর্কিত তথ্য সংগ্রহ করতে পারে, যা প্রভাবিত ব্যবহারকারীদের জন্য একটি উল্লেখযোগ্য ঝুঁকি তৈরি করে।
আরও বড় ছবি: ওয়েব-ভিত্তিক ম্যালওয়্যার প্রচারণা
ম্যালওয়্যার ডেলিভারি মেকানিজম হিসেবে হ্যাকড ওয়েবসাইটের ব্যবহার সাইবার হুমকির একটি চলমান প্রবণতা তুলে ধরে। আক্রমণকারীরা লক্ষ্যবস্তুর অপারেটিং সিস্টেম এবং ভৌগোলিক অবস্থানের উপর ভিত্তি করে পেলোড কাস্টমাইজ করছে, যা সর্বাধিক প্রভাব নিশ্চিত করে। যদিও উইন্ডোজের তুলনায় এন্টারপ্রাইজ পরিবেশে ম্যাকওএস সিস্টেম কম সাধারণ, এই প্রচারণাটি ম্যাকওএস ব্যবহারকারীদের ক্রমবর্ধমান সাইবার হুমকির বিরুদ্ধে সতর্ক থাকার ক্রমবর্ধমান প্রয়োজনীয়তাকে আরও জোরদার করে।
