Havoc Phishing Attack

সাইবার নিরাপত্তা তদন্তকারীরা একটি নতুন ফিশিং প্রচারণা আবিষ্কার করেছেন যা ClickFix কৌশল ব্যবহার করে হ্যাভোক, একটি ওপেন-সোর্স কমান্ড-এন্ড-কন্ট্রোল (C2) ফ্রেমওয়ার্ক স্থাপন করে। আক্রমণকারীরা চালাকির সাথে একটি SharePoint সাইটের পিছনে ম্যালওয়্যার স্তরগুলি লুকিয়ে রাখে, বৈধ পরিষেবাগুলির মধ্যে যোগাযোগ গোপন করার জন্য মাইক্রোসফ্ট গ্রাফ API সহ হ্যাভোক ডেমনের একটি পরিবর্তিত সংস্করণ ব্যবহার করে।

ফিশিং ফাঁদ: একটি প্রতারণামূলক ইমেল এবং ক্লিকফিক্স কারসাজি

এই আক্রমণটি একটি ফিশিং ইমেল দ্বারা শুরু হয় যার মধ্যে Documents.html নামে একটি HTML সংযুক্তি রয়েছে। ফাইলটি খোলার সময়, একটি ত্রুটি বার্তা প্রদর্শিত হয় যা ভুক্তভোগীকে একটি টেম্পারড PowerShell কমান্ড অনুলিপি এবং কার্যকর করতে বাধ্য করে। ClickFix নামে পরিচিত এই কৌশলটি ব্যবহারকারীদের তাদের DNS ক্যাশে ম্যানুয়ালি আপডেট করে OneDrive সংযোগের সমস্যা সমাধানের প্রয়োজন বলে বিশ্বাস করায়।

যদি লক্ষ্যবস্তু এই কৌশলে পায়, তাহলে তারা অসাবধানতাবশত একটি পাওয়ারশেল স্ক্রিপ্ট চালিয়ে সংক্রমণ প্রক্রিয়া শুরু করে যা আক্রমণকারী-নিয়ন্ত্রিত শেয়ারপয়েন্ট সার্ভারের সাথে সংযুক্ত হয়।

মাল্টি-স্টেজ ম্যালওয়্যার স্থাপন: পাওয়ারশেল থেকে পাইথন পর্যন্ত

একবার অনিরাপদ PowerShell স্ক্রিপ্টটি কার্যকর হয়ে গেলে, এটি প্রথমে পরীক্ষা করে যে পরিবেশটি সনাক্তকরণ এড়াতে স্যান্ডবক্স করা আছে কিনা। যদি নিরাপদ বলে মনে করা হয়, তাহলে স্ক্রিপ্টটি Python ('pythonw.exe') ডাউনলোড করতে এগিয়ে যায় যদি এটি ইতিমধ্যে সিস্টেমে ইনস্টল না করা থাকে।

সেখান থেকে, একটি দ্বিতীয় PowerShell স্ক্রিপ্ট একটি Python-ভিত্তিক শেলকোড লোডার আনে এবং কার্যকর করে, যা তারপর C এবং Assembly-তে লেখা একটি প্রতিফলিত লোডার KaynLdr চালু করে। এটি শেষ পর্যন্ত হ্যাভোক ডেমন এজেন্টকে আপোস করা মেশিনে স্থাপন করে।

হ্যাভোকের ক্ষমতা: একটি গোপন সাইবার অস্ত্র

আক্রমণকারীরা সুপরিচিত, বিশ্বস্ত পরিষেবাগুলির মধ্যে C2 ট্র্যাফিক গোপন করার জন্য মাইক্রোসফ্ট গ্রাফ API এর সাথে মিলে হ্যাভোক ব্যবহার করে। হ্যাভোকের কার্যকারিতাগুলির মধ্যে রয়েছে:

• তথ্য সংগ্রহ
• ফাইল অপারেশন
• কমান্ড কার্যকরকরণ
• পেলোড কার্যকরকরণ
• টোকেন ম্যানিপুলেশন
• কারবেরোস আক্রমণ

পেপ্যাল ব্যবহারকারীদের লক্ষ্য করে গুগল বিজ্ঞাপন ব্যবহার করা হচ্ছে

একটি পৃথক কিন্তু উদ্বেগজনক ঘটনায়, সাইবার নিরাপত্তা বিশেষজ্ঞরা লক্ষ্য করেছেন যে হুমকিদাতারা গুগল বিজ্ঞাপন নীতিমালা ব্যবহার করে পেপ্যাল ব্যবহারকারীদের প্রতারণামূলক বিজ্ঞাপনের মাধ্যমে টার্গেট করছে।

এই কৌশলগুলি বৈধ PayPal সহায়তা পৃষ্ঠাগুলি ছদ্মবেশে ব্যবহার করে এবং ব্যবহারকারীদের ভুয়া গ্রাহক পরিষেবা নম্বরে কল করার জন্য প্রতারণা করে কাজ করে। লক্ষ্য হল ভুক্তভোগীদের ব্যক্তিগত এবং আর্থিক তথ্য সংগ্রহ করা, যাতে তারা তাদের বৈধ PayPal প্রতিনিধিদের সাথে কথা বলছে বলে বোঝানো যায়।

গুগল বিজ্ঞাপনের ফাঁকফোকর: প্রতারকদের জন্য একটি খেলার মাঠ

এই প্রযুক্তিগত সহায়তা কৌশলগুলির সাফল্য নির্ভর করে গুগল বিজ্ঞাপন নীতির একটি ফাঁকের উপর, যা খারাপ ব্যক্তিদের সুপরিচিত ব্র্যান্ডের ছদ্মবেশ ধারণ করতে দেয়। যতক্ষণ পর্যন্ত ল্যান্ডিং পৃষ্ঠা (চূড়ান্ত URL) এবং ডিসপ্লে URL একই ডোমেনের সাথে মেলে, ততক্ষণ পর্যন্ত প্রতারকরা বিশ্বাসযোগ্য জাল বিজ্ঞাপন তৈরি করতে পারে।

সাইবার অপরাধীরা দ্রুত জনপ্রিয় অনুসন্ধান শব্দগুলিকে কাজে লাগায়, বিশেষ করে গ্রাহক সহায়তা এবং অ্যাকাউন্ট পুনরুদ্ধারের সাথে সম্পর্কিত শব্দগুলিকে, যাতে তাদের প্রতারণামূলক বিজ্ঞাপনগুলি অনুসন্ধান ফলাফলের শীর্ষে প্রদর্শিত হয়।

উপসংহার: একটি ক্রমবর্ধমান হুমকির ল্যান্ডস্কেপ

ক্লিকফিক্স-চালিত ফিশিং প্রচারণা থেকে শুরু করে গুগল বিজ্ঞাপনের অপব্যবহার পর্যন্ত, সাইবার অপরাধীরা তাদের সামাজিক প্রকৌশল কৌশলগুলিকে ক্রমাগত উন্নত করছে। এই হুমকিগুলি সাইবার আক্রমণের ঝুঁকি কমাতে সতর্কতা, ব্যবহারকারীর সচেতনতা এবং বর্ধিত সুরক্ষা ব্যবস্থার গুরুত্ব তুলে ধরে।