HTTPSnoop ম্যালওয়্যার

মধ্যপ্রাচ্যে টেলিকমিউনিকেশন পরিষেবা প্রদানকারীদের লক্ষ্য করে সাইবার আক্রমণের একটি তরঙ্গ HTTPSnoop এবং PipeSnoop নামে পরিচিত নতুন ম্যালওয়্যার স্ট্রেন স্থাপনের সাথে যুক্ত করা হয়েছে। এই হুমকির সরঞ্জামগুলি হুমকি অভিনেতাদের আপস করা ডিভাইসগুলির উপর রিমোট কন্ট্রোল পেতে সক্ষম করে।

HTTPSnoop ম্যালওয়্যার HTTP(S) URL এর মাধ্যমে সংক্রামিত এন্ডপয়েন্টে নির্দিষ্ট বিষয়বস্তু চালানোর জন্য Windows HTTP কার্নেল ড্রাইভার এবং ডিভাইসগুলিকে কাজে লাগায়। অন্যদিকে, PipeSnoop একটি নামযুক্ত পাইপের মাধ্যমে নির্বিচারে শেলকোডগুলি গ্রহণ এবং কার্যকর করার জন্য ডিজাইন করা হয়েছে।

সাইবারসিকিউরিটি গবেষকদের দ্বারা জারি করা একটি প্রতিবেদন অনুসারে যারা সফলভাবে এই আক্রমণ অভিযানটি উন্মোচন করেছেন, HTTPSnoop এবং PipeSnoop উভয়ই একই অনুপ্রবেশ গোষ্ঠীর জন্য দায়ী, 'ShroudedSnooper' হিসাবে চিহ্নিত৷ যাইহোক, দুটি হুমকি তাদের অনুপ্রবেশের মাত্রার পরিপ্রেক্ষিতে স্বতন্ত্র কর্মক্ষম উদ্দেশ্য পূরণ করে।

HTTPSnoop ম্যালওয়্যার আক্রমণকারীদের জন্য বিশেষ ক্রিয়া সম্পাদন করে

HTTPSnoop একটি সংক্রামিত ডিভাইসে HTTP(S) ট্র্যাফিক নিরীক্ষণ করার জন্য নিম্ন-স্তরের Windows API গুলি নিয়োগ করে, বিশেষত পূর্বনির্ধারিত URLগুলিকে লক্ষ্য করে৷ এই ইউআরএলগুলি সনাক্ত করার পরে, ম্যালওয়্যারগুলি তাদের থেকে আগত বেস64-এনকোড করা ডেটা ডিকোড করতে এবং আপস করা হোস্টে এটিকে শেলকোড হিসাবে কার্যকর করে।

এই অনিরাপদ ইমপ্লান্ট, টার্গেট সিস্টেমে DLL হাইজ্যাকিংয়ের মাধ্যমে সক্রিয় করা হয়েছে, এতে দুটি মূল উপাদান রয়েছে: প্রথমত, পর্যায় 2 শেলকোড, কার্নেল কলের মাধ্যমে একটি ব্যাকডোর ওয়েব সার্ভার সেট আপ করার জন্য দায়ী, এবং দ্বিতীয়, এর কনফিগারেশন।

HTTPSnoop একটি শোনার লুপ স্থাপন করে, ধৈর্য সহকারে ইনকামিং HTTP অনুরোধের জন্য অপেক্ষা করে এবং তাদের আগমনের পরে কার্যকরীভাবে বৈধ ডেটা প্রক্রিয়া করে। যেসব ক্ষেত্রে ইনকামিং ডেটা বৈধ নয়, ম্যালওয়্যার একটি HTTP 302 রিডাইরেক্ট প্রদান করে।

প্রাপ্ত শেলকোডের ডিক্রিপশনের পরে, এটি অবিলম্বে কার্যকর করা হয়, এবং কার্যকর করার ফলাফলগুলি আক্রমণকারীদের কাছে বেস64-এনকোডেড XOR-এনকোডেড ডেটা ব্লকের আকারে প্রেরণ করা হয়।

উপরন্তু, এই ইমপ্লান্টটি সার্ভারে পূর্বে কনফিগার করা URL এর সাথে বিরোধ এড়াতে সতর্কতা অবলম্বন করে, অসাবধানতাবশত সংঘর্ষ ছাড়াই মসৃণ অপারেশন নিশ্চিত করে।

বিশেষজ্ঞরা বেশ কিছু HTTPSnoop ম্যালওয়্যার ভেরিয়েন্ট আবিষ্কার করেছেন

HTTPSnoop-এর তিনটি স্বতন্ত্র বৈকল্পিক এখন পর্যন্ত পর্যবেক্ষণ করা হয়েছে প্রতিটি নিয়োগকারী অনন্য ইউআরএল শোনার ধরণগুলির সাথে। প্রথম রূপটি সাধারণ HTTP URL-ভিত্তিক অনুরোধগুলি নিরীক্ষণ করে, যখন দ্বিতীয় রূপটি Microsoft Exchange ওয়েব পরিষেবার অনুকরণ করে এমন URLগুলিতে ফোকাস করে৷ তৃতীয় বৈকল্পিকটি, ইতিমধ্যে, এমন URL গুলিকে লক্ষ্য করে যা OfficeCore-এর LBS/OfficeTrack এবং টেলিফোনি অ্যাপ্লিকেশনগুলিকে অনুকরণ করে৷

এই ভেরিয়েন্টগুলি 2023 সালের এপ্রিলে আবিষ্কৃত হয়েছিল, এবং উল্লেখযোগ্যভাবে, সাম্প্রতিক একটিতে এটি নিরীক্ষণ করে এমন ইউআরএলের সংখ্যা হ্রাস পেয়েছে, যা এর স্টিলথ ক্ষমতা বাড়াতে পারে।

মাইক্রোসফ্ট এক্সচেঞ্জ ওয়েব পরিষেবা এবং অফিসট্র্যাকের সাথে যুক্ত বৈধ URL প্যাটার্নগুলি অনুকরণ করে, এই প্রতারণামূলক অনুরোধগুলি সৌম্য ট্র্যাফিকের সাথে ঘনিষ্ঠভাবে সাদৃশ্যপূর্ণ, এটিকে বৈধ অনুরোধ থেকে আলাদা করা অত্যন্ত চ্যালেঞ্জিং করে তোলে৷

ম্যালওয়্যারের সর্বদা বিকশিত ল্যান্ডস্কেপ আমাদের ডিজিটাল যুগে একটি ভয়ঙ্কর এবং ক্রমাগত হুমকি তৈরি করে। ম্যালওয়্যার নিছক একটি উপদ্রব নয় বরং একটি শক্তিশালী প্রতিপক্ষ যা ব্যক্তি, সংস্থা এবং এমনকি জাতিকে ধ্বংস করতে সক্ষম। সতর্কতা, শিক্ষা, এবং শক্তিশালী সাইবার নিরাপত্তা ব্যবস্থা এই নিরলস হুমকির বিরুদ্ধে আমাদের সর্বোত্তম প্রতিরক্ষা। অনলাইন নিরাপত্তায় অবগত থাকা এবং সর্বোত্তম অনুশীলন গ্রহণ করা শুধুমাত্র একটি পছন্দ নয়; আমাদের ডিজিটাল জীবন রক্ষা এবং আমাদের আন্তঃসংযুক্ত বিশ্বের অখণ্ডতা রক্ষা করার জন্য এটি একটি প্রয়োজনীয়তা।