ম্যালভার্টাইজিং ইনভেস্টিগেশনের মাধ্যমে LOBSHOT ম্যালওয়্যার আবিষ্কৃত হয়েছে
ইলাস্টিক সিকিউরিটি ল্যাবস গবেষকরা সম্প্রতি LOBSHOT নামে একটি নতুন ম্যালওয়্যার আবিষ্কার করেছেন যা ম্যালভার্টাইজিং প্রচারাভিযানের বৃদ্ধির তাদের পুঙ্খানুপুঙ্খ তদন্তের সময়। LOBSHOT বিশেষ আগ্রহের কারণ এটি হুমকি অভিনেতাদের লুকানো VNC (ভার্চুয়াল নেটওয়ার্ক কম্পিউটিং) সংক্রামিত ডিভাইসগুলিতে অ্যাক্সেস দেয়। গবেষকরা ম্যালওয়্যার এবং TA505 এর মধ্যে সংযোগ খুঁজে পেয়েছেন, একটি আর্থিকভাবে অনুপ্রাণিত সাইবার অপরাধী গ্রুপ যা বিভিন্ন র্যানসমওয়্যার এবং ব্যাঙ্কিং ট্রোজান স্থাপনের জন্য পরিচিত।
সুচিপত্র
ম্যালভার্টাইজিং প্রচারাভিযানে স্পাইক
ম্যালভার্টাইজিং প্রচারাভিযানগুলি সংখ্যায় বৃদ্ধি পাচ্ছে, এবং তাদের গোপন প্রকৃতি ব্যবহারকারীদের পক্ষে বৈধ এবং দূষিত বিজ্ঞাপনের মধ্যে পার্থক্য করা কঠিন করে তোলে। নিরাপত্তা গবেষকরা দেখেছেন যে এই বৃদ্ধির কারণ হতে পারে হুমকি অভিনেতাদের জন্য দায়ী করা যেতে পারে যারা ম্যালভার্টাইজিং-এ-সার্ভিস বিক্রি করে, অনলাইন বিজ্ঞাপনের সাথে ইন্টারঅ্যাক্ট করার সময় সতর্ক থাকার গুরুত্ব আরও তুলে ধরে।
তাদের গবেষণার সময়, ইলাস্টিক সিকিউরিটি ল্যাবগুলি ব্যাপকভাবে ব্যবহৃত অ্যাপ্লিকেশনগুলিতে নির্দিষ্ট দুর্বলতাগুলিকে লক্ষ্য করার জন্য শোষণ কিটগুলি ব্যবহার করে ম্যালভার্টাইজিং প্রচারাভিযানের একটি বিশিষ্ট স্পাইক পর্যবেক্ষণ করেছে। এই প্রচারাভিযানগুলি বেশ কয়েকটি জনপ্রিয় ওয়েবসাইটে ক্রমবর্ধমানভাবে পরিলক্ষিত হয়েছে, যা লক্ষ লক্ষ ব্যবহারকারীকে সম্ভাব্য হুমকির সম্মুখীন করে। সাধারণত, এই ওয়েবসাইটগুলির ভিজিটররা ম্যালভার্টাইজমেন্টের সম্মুখীন হয় যেগুলি ক্লিক করা হলে, একটি এক্সপ্লয়েট কিট ল্যান্ডিং পৃষ্ঠায় পুনঃনির্দেশিত হয় যেখানে LOBSHOT অবশেষে ব্যবহারকারীর ডিভাইসে কার্যকর করে।
TA505 অবকাঠামো
TA505 , LOBSHOT এর বিকাশ এবং স্থাপনার পিছনে সন্দেহভাজন সাইবার অপরাধী গ্রুপ, দীর্ঘকাল ধরে এর বিস্তৃত দূষিত কার্যকলাপের জন্য স্বীকৃত। এই গোষ্ঠীটি তার সুসংগঠিত এবং বিভিন্ন ধরণের আক্রমণ অভিযানের জন্য পরিচিত, বিশেষ করে আর্থিক প্রতিষ্ঠানগুলিকে তাদের প্রাথমিক লক্ষ্য হিসাবে ফোকাস করে কিন্তু তাদের দূষিত কার্যকলাপগুলি অন্যান্য শিল্পে প্রসারিত করে।
LOBSHOT-এর বিশ্লেষণের পর, ইলাস্টিক সিকিউরিটি ল্যাবগুলি ম্যালওয়ারের পরিকাঠামো এবং পূর্বে চিহ্নিত TA505 পরিকাঠামোর মধ্যে স্পষ্ট ওভারল্যাপ খুঁজে পেয়েছে। আক্রমণের পদ্ধতি এবং ওভারল্যাপিং অবকাঠামোর মিল এই অনুমানকে বিশ্বাস করে যে TA505 LOBSHOT এর বিকাশ এবং সক্রিয় ব্যবহারের জন্য দায়ী।
লুকানো VNC অ্যাক্সেস
LOBSHOT-এর সবচেয়ে গুরুত্বপূর্ণ দিকগুলির মধ্যে একটি হল VNC-এর মাধ্যমে ভিকটিমদের ডিভাইসগুলিতে হুমকি অভিনেতাদের লুকানো অ্যাক্সেস দেওয়ার ক্ষমতা। এই নির্দিষ্ট বৈশিষ্ট্য আক্রমণকারীদের ব্যবহারকারীর সম্মতি বাইপাস করার সময় একটি সংক্রামিত ডিভাইসে দূরবর্তী অ্যাক্সেস লাভ করতে দেয়, ব্যবহারকারীর অজান্তেই তাদের নিরীক্ষণ, ম্যানিপুলেট এবং সংবেদনশীল ডেটা বের করার ক্ষমতা প্রদান করে। লুকানো VNC অ্যাক্সেস LOBSHOT কে সাইবার অপরাধীদের অস্ত্রাগারে একটি শক্তিশালী এবং বিপজ্জনক হাতিয়ার করে তোলে, বিশেষ করে যাদের আর্থিক অনুপ্রেরণা রয়েছে।
বিতরণ পদ্ধতি
LOBSHOT ম্যালওয়্যারের বিতরণ পদ্ধতিতে প্রতারণামূলক কৌশল, সন্দেহজনক শিকারদের প্রলুব্ধ করার জন্য Google বিজ্ঞাপন এবং জাল ওয়েবসাইটগুলিকে সম্পৃক্ত করতে দেখা গেছে। এই কৌশলগুলি এই ম্যালওয়্যারের পিছনে হুমকি অভিনেতাদের পরিশীলিততা এবং অভিযোজনযোগ্যতাকে আরও প্রদর্শন করে, বিজ্ঞাপনগুলি ব্রাউজ করার এবং ক্লিক করার সময় শেষ ব্যবহারকারীদের সতর্ক হওয়া আরও গুরুত্বপূর্ণ করে তোলে।
গুগল বিজ্ঞাপনের মাধ্যমে জাল ওয়েবসাইট
LOBSHOT বিতরণের প্রাথমিক উপায়গুলির মধ্যে একটি হল Google বিজ্ঞাপনের মাধ্যমে প্রচারিত জাল ওয়েবসাইটের ব্যবহার। হুমকি অভিনেতারা এই জাল ওয়েবসাইটগুলি তৈরি করে এবং বজায় রাখে, যেগুলি বৈধ ওয়েবসাইট এবং পরিষেবাগুলিকে নকল করার জন্য ডিজাইন করা হয়েছে৷ Google বিজ্ঞাপন প্ল্যাটফর্মকে কাজে লাগানোর মাধ্যমে, প্রতিপক্ষরা তাদের দূষিত বিজ্ঞাপনগুলি সন্দেহাতীত ব্যবহারকারীদের কাছে প্রদর্শন করতে পারে যারা বিজ্ঞাপনগুলিতে ক্লিক করতে পারে যে তারা প্রকৃত বলে ধারণা করতে পারে, যার ফলে তাদের ডিভাইসে LOBSHOT ম্যালওয়্যার ইনস্টল করা হয়।
ব্যবহারকারীদেরকে ফেক AnyDesk ডোমেনে রিডাইরেক্ট করা
জাল ওয়েবসাইট ব্যবহার করা ছাড়াও, LOBSHOT ম্যালওয়্যারের বিতরণ প্রক্রিয়ার মধ্যে ব্যবহারকারীদের একটি নকল AnyDesk ডোমেনে পুনঃনির্দেশিত করা জড়িত। AnyDesk একটি জনপ্রিয় দূরবর্তী ডেস্কটপ অ্যাপ্লিকেশন যা অনেক ব্যবসা এবং ব্যক্তি দূরবর্তী অ্যাক্সেস এবং সমর্থনের জন্য নির্ভর করে। হুমকি অভিনেতারা একটি কাল্পনিক AnyDesk ডোমেন তৈরি করে ব্যবহারকারীদের সফ্টওয়্যারটির একটি দূষিত সংস্করণ ডাউনলোড করার জন্য প্রতারিত করার মাধ্যমে এই বিশ্বাসের সুযোগ নিয়েছে, যা আসলে LOBSHOT ম্যালওয়্যার। এই পদ্ধতিটি আরও হাইলাইট করে যে এই সাইবার অপরাধীদের দ্বারা শিকারদের ফাঁদে ফেলার জন্য এবং তাদের দূষিত কার্যকলাপ চালানোর জন্য ব্যবহৃত ধূর্ত কৌশলগুলি।
কম্প্রোমাইজড সিস্টেমের মাধ্যমে ইনস্টলেশন
কিছু ক্ষেত্রে, LOBSHOT ম্যালওয়্যার একটি আপোসকৃত সিস্টেমের মাধ্যমে একজন শিকারের ডিভাইসে ইনস্টল করা যেতে পারে। এটি ঘটতে পারে যদি ব্যবহারকারী অজান্তে ম্যালওয়্যার দ্বারা সংক্রামিত একটি ওয়েবসাইট থেকে সামগ্রী পরিদর্শন করে বা ডাউনলোড করে বা যদি তারা একটি স্পিয়ার-ফিশিং প্রচারণার লক্ষ্য হয়ে থাকে। একবার ম্যালওয়্যারটি সফলভাবে শিকারের ডিভাইসে অনুপ্রবেশ করলে, এটি হুমকি অভিনেতাকে লুকানো VNC অ্যাক্সেস মঞ্জুর করতে পারে, যিনি তারপরে ইচ্ছামতো সিস্টেমটিকে দূরবর্তীভাবে নিয়ন্ত্রণ এবং ম্যানিপুলেট করতে পারেন।
LOBSHOT এর ক্ষমতা
LOBSHOT ম্যালওয়্যার একটি শক্তিশালী ক্ষমতার একটি সীমার গর্ব করে যা এটি ব্যবহারকারীর ডিভাইসে অনুপ্রবেশ এবং শোষণে পারদর্শী করে তোলে। ম্যালওয়্যারটি প্রাথমিকভাবে লুকানো ভার্চুয়াল নেটওয়ার্ক কম্পিউটিং (এইচভিএনসি) এর উপর ফোকাস করে, যা আক্রমণকারীদের সংক্রামিত ডিভাইসগুলিকে দূরবর্তীভাবে নিয়ন্ত্রণ করতে এবং তাদের ব্যবহারকারী ইন্টারফেস অ্যাক্সেস করতে দেয়। LOBSHOT এর মূল ক্ষমতাগুলির মধ্যে রয়েছে:
লুকানো ভার্চুয়াল নেটওয়ার্ক কম্পিউটিং (এইচভিএনসি)
LOBSHOT এর কার্যকারিতার কেন্দ্রবিন্দুতে ভিকটিম ডিভাইসে লুকানো VNC অ্যাক্সেস প্রদানের ক্ষমতা। hVNC-এর মাধ্যমে, আক্রমণকারীদের শিকারের সম্মতি বা জ্ঞান ছাড়াই একটি ডিভাইসকে দূরবর্তীভাবে নিয়ন্ত্রণ করার একটি গোপন পদ্ধতি দেওয়া হয়। hVNC বৈশিষ্ট্যটি LOBSHOT-কে বিশেষভাবে বিপজ্জনক করে তোলে, কারণ এটি খারাপ অভিনেতাদের বিভিন্ন ঘৃণ্য ক্রিয়াকলাপ পরিচালনা করার সময় আপোসকৃত ডিভাইসে একটি গোপন উপস্থিতি বজায় রাখতে দেয়।
ডিভাইসের রিমোট কন্ট্রোল
LOBSHOT-এর hVNC ক্ষমতা আক্রমণকারীদের সংক্রামিত ডিভাইসের সম্পূর্ণ নিয়ন্ত্রণ নিতে, কমান্ড কার্যকর করতে, পরিবর্তন করতে এবং রিসোর্স অ্যাক্সেস করতে সক্ষম করে যেন তারা বৈধ ব্যবহারকারী। নিয়ন্ত্রণের এই স্তরটি হুমকি অভিনেতাদের ডেটা অপসারণ, অতিরিক্ত ম্যালওয়্যার ইনস্টল করা এবং গুপ্তচরবৃত্তি প্রচারাভিযান পরিচালনা সহ বিস্তৃত দূষিত ক্রিয়াকলাপ পরিচালনা করতে দেয়। একজন শিকারের ডিভাইসকে দূরবর্তীভাবে নিয়ন্ত্রণ করার ক্ষমতা LOBSHOT দ্বারা উত্থাপিত গুরুত্বপূর্ণ হুমকিকে আন্ডারস্কোর করে।
সম্পূর্ণ গ্রাফিক ইউজার ইন্টারফেস (GUI)
ম্যালওয়্যারটির লক্ষ্য ডিভাইসের সম্পূর্ণ গ্রাফিক ইউজার ইন্টারফেস (GUI) অ্যাক্সেস করার ক্ষমতাও রয়েছে, যার অর্থ আক্রমণকারী ডিভাইসের ডেস্কটপ পরিবেশের সাথে দৃশ্যত ইন্টারঅ্যাক্ট করতে পারে। এই বৈশিষ্ট্যটি ম্যালওয়্যারে দক্ষতা এবং নিয়ন্ত্রণের আরেকটি স্তর যোগ করে যাতে হুমকি অভিনেতার জন্য আপোসকৃত ডিভাইসটি নেভিগেট করা এবং ম্যানিপুলেট করা সহজ করে। সম্পূর্ণ GUI-তে অ্যাক্সেস আক্রমণকারীকে ব্যবহারকারীর কার্যকলাপ নিরীক্ষণ করতে, সংবেদনশীল তথ্য অ্যাক্সেস করতে এবং বৈধ ব্যবহারকারীর জন্য দায়ী ক্রিয়া সম্পাদন করতে সক্ষম করে, আরও জোর দেয় LOBSHOT এর ক্ষতিকারকতার উপর।
প্রশমন এবং উদ্বেগ
LOBSHOT ম্যালওয়্যার তার লুকানো VNC ক্ষমতা এবং TA505-এর মতো আর্থিকভাবে অনুপ্রাণিত হুমকি অভিনেতাদের সাথে সংযোগের কারণে পৃথক ব্যবহারকারী এবং সংস্থা উভয়ের কাছেই গুরুত্বপূর্ণ উদ্বেগ উপস্থাপন করে। এই উদ্বেগগুলি প্রশমিত করা এবং মোকাবেলায় সম্ভাব্য ঝুঁকিগুলি বোঝা এবং উপযুক্ত প্রতিরক্ষামূলক পদক্ষেপগুলি বাস্তবায়নের পাশাপাশি Google বিজ্ঞাপনগুলির মতো প্ল্যাটফর্মগুলিতে কঠোর প্রবিধানের আহ্বান জানানো জড়িত৷
ব্যাংকিং এবং আর্থিক তথ্য চুরি
লবশটকে ঘিরে প্রাথমিক উদ্বেগের মধ্যে একটি হল সংক্রামিত ডিভাইসগুলি থেকে ব্যাংকিং এবং আর্থিক তথ্য চুরি করার সম্ভাবনা। এর লুকানো ভিএনসি অ্যাক্সেস আক্রমণকারীদের সনাক্ত না করা ডিভাইসগুলিতে অনুপ্রবেশ করতে, ব্যবহারকারীর ক্রিয়াকলাপ নিরীক্ষণ করতে এবং লগইন শংসাপত্র, অ্যাকাউন্ট নম্বর এবং লেনদেনের বিবরণের মতো সংবেদনশীল ডেটা ক্যাপচার করতে দেয়। এই ধরনের তথ্য অর্থনৈতিক লাভের জন্য ব্যবহার করা যেতে পারে বা আরও আক্রমণে ব্যবহার করা যেতে পারে, যেমন শংসাপত্র স্টাফিং বা ফিশিং প্রচারাভিযান।
Google-এ কঠোরতর বিজ্ঞাপন নিয়ন্ত্রণের আহ্বান
Google বিজ্ঞাপনের মাধ্যমে ম্যালওয়্যার বিতরণের ক্রমবর্ধমান হুমকির প্রতিক্রিয়ায়, বেশ কয়েকটি গবেষক এবং নিরাপত্তা পেশাদাররা বিজ্ঞাপনের অনুমোদনের উপর কঠোর প্রবিধান আরোপ করার জন্য Google এর হোল্ডিং কোম্পানি Alphabet-এর কাছে আহ্বান জানিয়েছেন। আরও শক্তিশালী বিজ্ঞাপন স্ক্রীনিং প্রক্রিয়া এবং যাচাইকরণ প্রক্রিয়া বাস্তবায়ন করা LOBSHOT-এর মতো ম্যালওয়্যারের বিস্তারকে কমিয়ে আনতে এবং সন্দেহাতীত ব্যবহারকারীদের এই ধরনের হুমকির শিকার হওয়ার ঝুঁকি কমাতে সাহায্য করতে পারে। ইতিমধ্যে, শেষ ব্যবহারকারীদের তারা যে ডোমেনটি পরিদর্শন করছেন এবং তারা যে সফ্টওয়্যারটি ডাউনলোড করছেন তার বৈধতা যাচাই করে সতর্কতা অবলম্বন করা উচিত।