JackFix Malware Campaign

সাম্প্রতিক এক তদন্তে ক্লিকফিক্স-স্টাইলের সোশ্যাল ইঞ্জিনিয়ারিংকে কাজে লাগিয়ে আক্রমণের ক্রমবর্ধমান ঢেউ তুলে ধরা হয়েছে। এই স্কিমগুলি ক্ষতিকারক কমান্ডগুলি নিজেরাই কার্যকর করতে ভুক্তভোগীদের রাজি করানোর উপর নির্ভর করে, প্রায়শই পর্যায়ক্রমে প্রযুক্তিগত প্রম্পটের মাধ্যমে। সর্বশেষ অভিযানটি এই কৌশলটিকে আরও এগিয়ে নিয়ে যায় ভুয়া প্রাপ্তবয়স্ক ওয়েবসাইট এবং জাল উইন্ডোজ আপডেট নোটিশের সাথে যুক্ত করে, একটি অত্যন্ত কারসাজিমূলক সংক্রমণ শৃঙ্খল তৈরি করে যা সুরক্ষা দলগুলিকে জ্যাকফিক্স নামে অভিহিত করে।

প্রবেশের পথ হিসেবে প্রাপ্তবয়স্কদের জন্য ফিশিং পোর্টাল

এই প্রচারণা শুরু হয় সুপরিচিত প্ল্যাটফর্মের মতো করে তৈরি করা প্রতারণামূলক প্রাপ্তবয়স্ক সাইট দিয়ে, যা ম্যালভার্টাইজিং এবং অন্যান্য পুনঃনির্দেশ কৌশলের মাধ্যমে সরবরাহ করা হয়। ব্যবহারকারীরা যখন এই পৃষ্ঠাগুলিতে পৌঁছান, তখন তারা দ্রুত একটি জরুরি আপডেট বার্তার মুখোমুখি হন যা একটি গুরুত্বপূর্ণ উইন্ডোজ সুরক্ষা বিজ্ঞপ্তি হিসাবে তৈরি করা হয়। প্রাপ্তবয়স্ক থিমটি মানসিক চাপকে বাড়িয়ে তোলে, হঠাৎ আপডেট প্রম্পটকে বিশ্বাসযোগ্য বলে মনে করে এবং ব্যবহারকারীদের এর সত্যতা নিয়ে প্রশ্ন তোলা থেকে নিরুৎসাহিত করে।

এই সাইটগুলির কিছু রূপে ডেভেলপারদের মন্তব্য রাশিয়ান ভাষায় রয়েছে, যা রাশিয়ানভাষী হুমকি গোষ্ঠীর সাথে সম্ভাব্য সংযোগের ইঙ্গিত দেয়।

প্রতারণামূলক পূর্ণ-স্ক্রিন আপডেট সতর্কতা

একবার একজন ভিজিটর দুর্বৃত্ত পৃষ্ঠার সাথে ইন্টারঅ্যাক্ট করলে, HTML এবং জাভাস্ক্রিপ্ট উপাদানগুলি তাৎক্ষণিকভাবে একটি উইন্ডোজ আপডেট ডায়ালগের পূর্ণ-স্ক্রিন অনুকরণ চালু করে। ইন্টারফেসটি একটি নীল ব্যাকগ্রাউন্ড এবং সাধারণ সাদা টেক্সট ব্যবহার করে, যা উচ্চ-জরুরি সিস্টেম বার্তাগুলির স্টাইল প্রতিধ্বনিত করে। জাভাস্ক্রিপ্ট পূর্ণ-স্ক্রিন মোড জোর করার চেষ্টা করে, যখন অতিরিক্ত কোড ব্যবহারকারীকে জাল আপডেটের মধ্যে আটকাতে Escape, F11, F5 এবং F12 সহ সাধারণ এস্কেপ কীগুলিকে ব্লক করার চেষ্টা করে।
তা সত্ত্বেও, বাস্তবায়ন ত্রুটিগুলি Escape এবং F11 কে এখনও কাজ করতে দেয়, যা ব্যবহারকারীদের একটি সম্ভাব্য সমাধান প্রদান করে।

প্রতারণার মূল কারণ হলো ভুক্তভোগীকে দেখানো নির্দেশাবলী: উইন্ডোজ রান ডায়ালগ খুলুন, একটি প্রি-কপি করা কমান্ড পেস্ট করুন এবং এটি কার্যকর করুন। এই পদক্ষেপগুলি অনুসরণ করলে ক্ষতিকারক পেলোড চালু হয় এবং আপস শুরু হয়।

ক্লিকফিক্সের আধিপত্য এবং আক্রমণের বিবর্তন

ক্লিকফিক্স-স্টাইলের কার্যকলাপ তীব্রভাবে বৃদ্ধি পেয়েছে, যা এখন নথিভুক্ত প্রাথমিক অ্যাক্সেস ইভেন্টের প্রায় অর্ধেক প্রতিনিধিত্ব করে। ঐতিহ্যগতভাবে, এই ধরনের হুমকি ক্যাপচা চেক বা সমস্যা সমাধানের প্রম্পটগুলির ছদ্মবেশ ধারণ করে। জ্যাকফিক্স প্রচারাভিযানটি আরও নিমজ্জিত এবং সিস্টেম-সদৃশ লোভের দিকে একটি পরিবর্তন চিহ্নিত করে, যা দেখায় যে আক্রমণকারীরা ব্যবহারকারী-সহায়তাপ্রাপ্ত কোড কার্যকর করার জন্য কীভাবে ক্রমাগত মানসিক ম্যানিপুলেশনকে পরিমার্জন করে।

স্তরযুক্ত অস্পষ্টতা এবং কমান্ড-ট্রিগারড পেলোড ডেলিভারি

ভুক্তভোগীর মেশিনে সম্পাদিত প্রথম কমান্ডটি mshta.exe ব্যবহার করে জাভাস্ক্রিপ্ট ধারণকারী একটি MSHTA পেলোড চালায়। এই স্ক্রিপ্টটি একটি PowerShell কমান্ডকে কল করে যা একটি দূরবর্তী সার্ভার থেকে আরেকটি PowerShell পর্যায় পুনরুদ্ধার করে। যাচাই-বাছাই এড়াতে, সংশ্লিষ্ট ডোমেনগুলি ম্যানুয়ালি অ্যাক্সেস করা হলে Google বা Steam এর মতো ক্ষতিকারক সাইটগুলিতে পুনঃনির্দেশিত হয়। শুধুমাত্র নির্দিষ্ট PowerShell কমান্ড, যেমন irm বা iwr এর মাধ্যমে করা অনুরোধগুলি, দূষিত প্রতিক্রিয়া ট্রিগার করে, যা একটি উল্লেখযোগ্য বিশ্লেষণ বাধা যোগ করে।

ডাউনলোড করা PowerShell স্ক্রিপ্টটিতে ভারী অস্পষ্টতা রয়েছে: জাঙ্ক কোড, লুকানো যুক্তি এবং বিপরীত প্রকৌশলকে বাধাগ্রস্ত করার জন্য পরীক্ষা করা হয়েছে। এটি বিশেষাধিকার বৃদ্ধির চেষ্টা করে এবং C2 এন্ডপয়েন্ট এবং স্টেজিং ডিরেক্টরিগুলির সাথে সংযুক্ত অ্যান্টিভাইরাস এক্সক্লুশন যোগ করে।

জোরপূর্বক সুবিধা বৃদ্ধি এবং পেলোড স্থাপন

প্রাইভিলেজ আপলিফ্ট স্টার্ট-প্রসেস cmdlet ব্যবহার করে -Verb RunAs প্যারামিটার ব্যবহার করে করা হয়, যা প্রশাসনিক অধিকার প্রদান না করা পর্যন্ত বারবার ভুক্তভোগীকে অনুরোধ করে। একবার এলিভেটেড হয়ে গেলে, স্ক্রিপ্টটি অতিরিক্ত উপাদান স্থাপন করে, প্রায়শই হালকা রিমোট অ্যাক্সেস ট্রোজান যা একটি C2 সার্ভারের সাথে যোগাযোগ করার জন্য এবং আরও ম্যালওয়্যার আনার জন্য ডিজাইন করা হয়।

চুরিকারী এবং লোডারদের একটি বৈচিত্র্যময় অস্ত্রাগার

ম্যালওয়্যারটি আটটি পর্যন্ত স্বতন্ত্র পেলোড সরবরাহ করতে দেখা গেছে, যার মধ্যে রয়েছে:

• রাডামন্থিস স্টিলার, ভিদার স্টিলার ২.০, রেডলাইন স্টিলার, আমেডি
• অন্যান্য লোডার এবং RATs ফলো-অন হুমকি মঞ্চস্থ করতে ব্যবহৃত হত

সংবেদনশীল তথ্য ঝুঁকির মুখে ফেলার জন্য শুধুমাত্র একটি সফল কার্যকরকরণই যথেষ্ট। ভুক্তভোগীরা শংসাপত্র, ক্রিপ্টো হোল্ডিং এবং অন্যান্য ব্যক্তিগত তথ্য হারানোর সম্মুখীন হন। কিছু লোডার আক্রমণকারীদের আরও শক্তিশালী ম্যালওয়্যার দিয়ে অনুপ্রবেশ প্রসারিত করতে সক্ষম করে, যার ফলে প্রভাব উল্লেখযোগ্যভাবে বৃদ্ধি পায়।