Noodlophile Malware Campaign
নুডলোফাইল ম্যালওয়্যারের পেছনে থাকা সাইবার অপরাধীরা মার্কিন যুক্তরাষ্ট্র, ইউরোপ, বাল্টিক এবং এশিয়া-প্রশান্ত মহাসাগরীয় অঞ্চলের সংস্থাগুলিকে লক্ষ্য করে একটি চলমান প্রচারণা চালিয়ে আসছে। বর্শা-ফিশিং কৌশলগুলিকে বিকশিত ডেলিভারি প্রক্রিয়ার সাথে একত্রিত করে, তারা একটি শক্তিশালী তথ্য চুরির হাতিয়ার স্থাপন করার লক্ষ্য রাখে যা পরিশীলিতভাবে ক্রমবর্ধমান।
সুচিপত্র
স্পিয়ার-ফিশিং উইথ আ টুইস্ট
এক বছরেরও বেশি সময় ধরে সক্রিয় এই প্রচারণাটি এখন কপিরাইট লঙ্ঘনের নোটিশের ছদ্মবেশে স্পিয়ার-ফিশিং ইমেলের দিকে ঝুঁকছে। এই ইমেলগুলি সাধারণ নয়; আক্রমণকারীরা বিশ্বাসযোগ্যতা বাড়ানোর জন্য ফেসবুক পেজ আইডি এবং কোম্পানির মালিকানার বিবরণের মতো গোয়েন্দা তথ্য ব্যবহার করে এগুলি তৈরি করে।
২০২৫ সালের মে মাসে উন্মোচিত হওয়া নুডলোফাইল প্রচারণার পূর্ববর্তী তরঙ্গগুলি ফেসবুকের মতো সোশ্যাল মিডিয়া চ্যানেলের মাধ্যমে প্রচারিত জাল এআই-চালিত সরঞ্জামগুলির উপর নির্ভর করেছিল। এখন, কপিরাইট-সম্পর্কিত প্রলোভনের দিকে স্থানান্তর এর বিবর্তনে একটি নতুন অধ্যায় চিহ্নিত করে। উল্লেখযোগ্যভাবে, একই ধরণের কৌশল আগেও দেখা গেছে: ২০২৪ সালের নভেম্বরে, একটি বৃহৎ আকারের ফিশিং প্রচারণা Rhadamanthys Stealer ছড়িয়ে দেওয়ার জন্য মিথ্যা কপিরাইট লঙ্ঘনের দাবি ব্যবহার করেছিল।
আক্রমণ শৃঙ্খলের অ্যানাটমি
বর্তমান কার্যক্রমটি জিমেইল-ভিত্তিক ফিশিং ইমেল দিয়ে শুরু হয়, যা সন্দেহ এড়িয়ে কপিরাইট লঙ্ঘনের অভিযোগের তীব্রতা জাগিয়ে তোলার জন্য ডিজাইন করা হয়েছে। ইমেলের মধ্যে, একটি ড্রপবক্স লিঙ্ক একটি জিপ বা এমএসআই ফাইল সরবরাহ করে। একবার কার্যকর করা হলে, এই ইনস্টলারটি বৈধ হাইহাইসফট পিডিএফ রিডার বাইনারিগুলির মাধ্যমে একটি ক্ষতিকারক ডিএলএল সাইডলোড করে। নুডলোফাইল স্টিলার চালানোর আগে, উইন্ডোজ রেজিস্ট্রি এন্ট্রি পরিবর্তন করে স্থায়ীত্ব তৈরি করতে ব্যাচ স্ক্রিপ্ট ব্যবহার করা হয়।
একটি বিশেষভাবে ফাঁকি দেওয়া কৌশল হল টেলিগ্রাম গ্রুপের বর্ণনা, যা 'ডেড ড্রপ রেজলভার' হিসেবে কাজ করে পেস্ট.আরএস-এ হোস্ট করা প্রকৃত পেলোড সার্ভারের দিকে ভুক্তভোগীদের নির্দেশ করে। এই পদ্ধতিটি সনাক্তকরণ এবং সরিয়ে ফেলার প্রচেষ্টাকে জটিল করে তোলে এবং গতিশীল পেলোড ডেলিভারি সক্ষম করে।
ফাঁকি দেওয়ার কৌশল বিকশিত হচ্ছে
পূর্ববর্তী প্রচারণাগুলির উপর ভিত্তি করে তৈরি করা হয়েছে যা Base64-এনকোডেড আর্কাইভ এবং certutil.exe এর মতো LOLBins ব্যবহার করেছিল, বর্তমান পুনরাবৃত্তিতে যোগ করা হয়েছে:
- টেলিগ্রাম-ভিত্তিক কমান্ড-এন্ড-কন্ট্রোল চ্যানেল
- ডিস্ক-ভিত্তিক সনাক্তকরণ এড়াতে ইন-মেমরি এক্সিকিউশন কৌশল
এই উদ্ভাবনগুলি আরও পরিশীলিত ফাঁকি দেওয়ার পদ্ধতির দিকে একটি স্থির প্রবণতা প্রদর্শন করে, যা ঐতিহ্যবাহী প্রতিরক্ষা ব্যবস্থাকে কম কার্যকর করে তোলে।
নুডলোফাইলের ক্ষমতা
নুডলোফাইল কোনও সাধারণ চুরিকারী নয়, এটি একটি ক্রমাগত বিকশিত টুলকিট যা বিস্তৃত সংবেদনশীল তথ্য অপসারণের জন্য ডিজাইন করা হয়েছে। বর্তমান বিশ্লেষণ দেখায় যে এটি করতে পারে:
- ব্রাউজার ডেটা এবং সিস্টেম তথ্য বের করুন।
- হার্ভেস্ট এন্টারপ্রাইজ-সম্পর্কিত সোশ্যাল মিডিয়ার বিবরণ, বিশেষ করে ফেসবুক থেকে।
চলমান কোড বিশ্লেষণ থেকে জানা যায় যে ডেভেলপাররা এর কার্যকারিতা সম্প্রসারণের জন্য কাজ করছে। পরিকল্পিত বৈশিষ্ট্যগুলির মধ্যে রয়েছে স্ক্রিনশট ক্যাপচার, কীলগিং, ফাইল এক্সফিল্ট্রেশন, প্রক্রিয়া পর্যবেক্ষণ, নেটওয়ার্ক রিকনেসান্স, ফাইল এনক্রিপশন এবং বিস্তারিত ব্রাউজার ইতিহাস নিষ্কাশন।
একটি ক্রমবর্ধমান এন্টারপ্রাইজ ঝুঁকি
ব্রাউজার এবং সোশ্যাল মিডিয়া ডেটার উপর জোর দেওয়া এই প্রচারণায় একটি সুপরিকল্পিত কৌশল তুলে ধরা হয়েছে: শক্তিশালী অনলাইন উপস্থিতি থাকা এন্টারপ্রাইজগুলিকে আপস করা। নতুন ফাংশনগুলি বিকাশের অধীনে থাকায়, নুডলোফাইল আরও বহুমুখী এবং বিপজ্জনক হুমকিতে পরিণত হতে পারে, যা গুপ্তচরবৃত্তি, শংসাপত্র চুরি এবং ভবিষ্যতে সম্ভাব্য এমনকি র্যানসমওয়্যারের মতো ক্ষমতাগুলিকে একত্রিত করতে পারে।
