লবশট ম্যালওয়্যার
LOBSHOT নামে একটি নতুন ম্যালওয়্যার হুমকি Google বিজ্ঞাপনের মাধ্যমে বিতরণ করা হয়েছে এবং এটি hVNC ব্যবহার করে উইন্ডোজ ডিভাইসগুলিকে সংক্রামিত করতে সক্ষম। বৈধ AnyDesk রিমোট ম্যানেজমেন্ট সফ্টওয়্যারের জন্য প্রদর্শিত বিজ্ঞাপন দ্বারা প্রচারিত সাইবার নিরাপত্তা গবেষকদের দ্বারা ম্যালওয়্যারটি পর্যবেক্ষণ করা হয়েছে। যাইহোক, এর পরিবর্তে দূষিত বিজ্ঞাপনগুলি ব্যবহারকারীদের একটি জাল ওয়েবসাইটে নিয়ে যায়। এই পৃষ্ঠাটি, 'amydeecke.website,' একটি দূষিত MSI ফাইলকে ঠেলে দেয় যা, পরিবর্তে, একটি PowerShell কমান্ড চালায়। লক্ষ্য হল download-cdn[.]com থেকে একটি DLL ডাউনলোড করা, একটি ডোমেন যা পূর্বে TA505/Clop র্যানসমওয়্যার গ্রুপের সাইবার অপরাধমূলক কার্যকলাপের সাথে যুক্ত ছিল।
ডাউনলোড করা DLL ফাইলটি হল LOBSHOT ম্যালওয়্যার এবং C:\ProgramData ফোল্ডারে সংরক্ষিত হয়, যেখানে এটি RunDLL32.exe দ্বারা কার্যকর করা হয়। একটি প্রতিবেদন অনুসারে, যা LOBSHOT সম্পর্কে বিশদ প্রকাশ করেছে, গবেষকরা জুলাই 2022 সাল থেকে 500 টিরও বেশি অনন্য LOBSHOT নমুনা পর্যবেক্ষণ করেছেন৷ চিহ্নিত নমুনাগুলি সাধারণত 32-বিট DLL বা 32-বিট এক্সিকিউটেবল হিসাবে 93 KB থেকে 124 KB পর্যন্ত সংকলিত হয়৷ একবার লঙ্ঘিত ডিভাইসগুলিতে কার্যকর করা হলে, LOBSHOT চেক করে যে Microsoft ডিফেন্ডার চলছে কিনা এবং শনাক্ত হলে এটির সম্পাদন বন্ধ করে দেয়।
সুচিপত্র
সাইবার অপরাধীরা ম্যালওয়্যার হুমকি বিতরণ করতে Google বিজ্ঞাপনগুলিকে কাজে লাগায়৷
সাইবারসিকিউরিটি বিশেষজ্ঞরা অনুসন্ধান ফলাফলের মাধ্যমে ম্যালওয়্যার ছড়ানোর জন্য হুমকি অভিনেতাদের দ্বারা Google বিজ্ঞাপনের ব্যবহারে উল্লেখযোগ্য বৃদ্ধি লক্ষ্য করেছেন। দূষিত বিজ্ঞাপন প্রচারগুলি বিভিন্ন ওয়েবসাইট এবং বৈধ সফ্টওয়্যার পণ্যের অনুকরণের সাথে জড়িত, যেমন 7-ZIP, VLC, OBS, Notepad++, CCleaner, TradingView, Rufus এবং অন্যান্য বেশ কয়েকটি অ্যাপ্লিকেশন।
বিজ্ঞাপনগুলি দ্বারা প্রদত্ত বৈধতার ছাপ সত্ত্বেও, তারা যে ওয়েবসাইটগুলিতে পুনঃনির্দেশ করে সেগুলি প্রকৃত অ্যাপ্লিকেশন সরবরাহ করার পরিবর্তে Gozi , RedLine , Vidar , Cobalt Strike , SectoRAT, এবং Royal Ransomware সহ ম্যালওয়্যার ছড়িয়ে দেওয়ার জন্য ডিজাইন করা হয়েছে৷
LOBSHOT ম্যালওয়্যার ক্রিপ্টোকারেন্সি এক্সটেনশন এবং ওয়ালেটকে লক্ষ্য করে
যদি LOBSHOT মাইক্রোসফ্ট ডিফেন্ডারের উপস্থিতির লক্ষণ খুঁজে না পায় তবে এটি তার হুমকিমূলক প্রোগ্রামিং নিয়ে এগিয়ে যাবে। হুমকি স্বয়ংক্রিয়ভাবে রেজিস্ট্রি এন্ট্রি কনফিগার করবে প্রতিটি উইন্ডোজ বুটে এর স্টার্টআপ নিশ্চিত করতে। LOBSHOT তারপর সংক্রামিত ডিভাইস থেকে সমস্ত চলমান প্রক্রিয়া সহ সিস্টেম তথ্য সংগ্রহ এবং প্রেরণ করা শুরু করবে। অতিরিক্তভাবে, ম্যালওয়্যারটি 32টি ক্রোম ক্রিপ্টোকারেন্সি ওয়ালেট এক্সটেনশন, নয়টি এজ ওয়ালেট এক্সটেনশন এবং 11টি ফায়ারফক্স ওয়ালেট এক্সটেনশনের উপস্থিতি খোঁজে।
এই এক্সটেনশনগুলি সনাক্ত করার পরে, ম্যালওয়্যার C:\ProgramData ফোল্ডারে একটি ফাইল চালায়। যাইহোক, গবেষকরা অনিশ্চিত যে ফাইলটির উদ্দেশ্য এক্সটেনশন ডেটা বা অন্য কিছু ক্ষতিকারক কাজ করা।
যদিও ক্রিপ্টোকারেন্সি এক্সটেনশন সংগ্রহ করা ম্যালওয়্যারের জন্য একটি সাধারণ লক্ষ্য, LOBSHOT ম্যালওয়্যার এর কাঠামোতে একটি hVNC মডিউলও অন্তর্ভুক্ত রয়েছে। এই মডিউল হুমকি অভিনেতাদের দূরবর্তীভাবে বিচক্ষণতার সাথে একটি সংক্রামিত ডিভাইস অ্যাক্সেস করতে সক্ষম করে।
লবশট ম্যালওয়্যার লঙ্ঘিত ডিভাইসগুলিতে দূরবর্তী অ্যাক্সেস প্রদান করে
ভুক্তভোগীর জ্ঞান ছাড়াই দূরবর্তীভাবে একটি উইন্ডোজ ডেস্কটপ কম্পিউটার নিয়ন্ত্রণ করার ক্ষমতা hVNC (লুকানো ভার্চুয়াল নেটওয়ার্ক কম্পিউটিং) মডিউল দ্বারা সম্ভব হয়েছে।
LOBSHOT নামে পরিচিত ম্যালওয়্যারটিতে একটি hVNC মডিউল রয়েছে, যা হুমকি অভিনেতাদের তাদের কীবোর্ড এবং মাউস ব্যবহার করে লুকানো ডেস্কটপকে এমনভাবে ম্যানিপুলেট করতে সক্ষম করে যেন তারা তাদের সামনে শারীরিকভাবে উপস্থিত থাকে।
একবার মডিউলটি সক্রিয় হয়ে গেলে, শিকারের মেশিনটি লুকানো ডেস্কটপের স্ক্রিন ক্যাপচারগুলি আক্রমণকারী দ্বারা নিয়ন্ত্রিত শোনার ক্লায়েন্টের কাছে প্রেরণ করা শুরু করে। আক্রমণকারী ক্লায়েন্টের সাথে কীবোর্ডের কারসাজি করে, বোতামে ক্লিক করে এবং মাউস নড়াচড়া করে, তাদের ডিভাইসের সম্পূর্ণ রিমোট কন্ট্রোল দিয়ে যোগাযোগ করতে পারে।
hVNC দ্বারা প্রদত্ত সম্পূর্ণ অ্যাক্সেসের সাথে, হুমকি অভিনেতারা বিভিন্ন ক্রিয়াকলাপ পরিচালনা করতে পারে, যেমন কমান্ড কার্যকর করা, ডেটা চুরি করা এবং অতিরিক্ত ম্যালওয়্যার পেলোড স্থাপন করা।
