ওসাবান ব্যাংকিং ট্রোজান
নিরাপত্তা বিশেষজ্ঞরা সতর্ক করেছেন যে হ্যাকাররা প্রচুর পরিমাণে ব্যাঙ্কিং ট্রোজান ছড়িয়ে দেওয়ার জন্য Google ক্লাউড রান পরিষেবাকে কাজে লাগাচ্ছে৷ সাইবার অপরাধীরা Astaroth এবং Mekotio এর মত অন্যান্য ব্যাঙ্কিং ট্রোজানের সাথে Ousaban এর মত বিভিন্ন মোবাইল ম্যালওয়্যার হুমকি ব্যবহার করছে।
Google ক্লাউড রান ব্যবহারকারীদের অবকাঠামো ব্যবস্থাপনা বা স্কেলিংয়ের জটিলতা ছাড়াই ফ্রন্টএন্ড এবং ব্যাকএন্ড পরিষেবা, ওয়েবসাইট বা অ্যাপ্লিকেশন, কাজের চাপ পরিচালনা করার ক্ষমতা দেয়। ম্যালওয়্যার বিতরণের জন্য Google-এর পরিষেবার অপব্যবহার প্রথম 2023 সালের সেপ্টেম্বরে পরিলক্ষিত হয়েছিল যখন ব্রাজিলিয়ান অভিনেতারা ম্যালওয়্যার পেলোডগুলি স্থাপন করার জন্য MSI ইনস্টলার ফাইল নিয়োগ করে প্রচারাভিযান শুরু করেছিলেন।
সাইবার অপরাধীরা ব্যাঙ্কিং ট্রোজান হুমকি প্রদানের জন্য ফিশিং কৌশল ব্যবহার করে
আক্রমণগুলি সম্ভাব্য শিকারদের নির্দেশিত ফিশিং ইমেলগুলির সাথে শুরু হয়, চালান, আর্থিক বিবৃতি বা স্থানীয় সরকার এবং ট্যাক্স এজেন্সিগুলির কাছ থেকে আসা বার্তাগুলির সাথে সম্পর্কিত প্রকৃত যোগাযোগগুলি নকল করার জন্য দক্ষতার সাথে ডিজাইন করা হয়েছে৷ গবেষকরা লক্ষ্য করেছেন যে এই প্রচারাভিযানের বেশিরভাগ ইমেলগুলি স্প্যানিশ ভাষায়, ল্যাটিন আমেরিকার দেশগুলিকে লক্ষ্য করে, তবে এমন উদাহরণ রয়েছে যেখানে ইতালীয় ব্যবহার করা হয়েছে৷ এই প্রতারণামূলক ইমেলগুলিতে এমন লিঙ্ক রয়েছে যা ব্যবহারকারীদের Google ক্লাউড রানে হোস্ট করা ক্ষতিকারক ওয়েব পরিষেবাগুলিতে পুনঃনির্দেশিত করে৷
নির্দিষ্ট পরিস্থিতিতে, পেলোড MSI ফাইলের মাধ্যমে বিতরণ করা হয়। বিকল্পভাবে, পরিষেবাটি Google ক্লাউড স্টোরেজ অবস্থানে একটি 302 পুনঃনির্দেশ নিযুক্ত করে, যেখানে একটি হুমকিমূলক MSI ফাইল ধারণকারী একটি ZIP সংরক্ষণাগার সংরক্ষণ করা হয়। ক্ষতিগ্রস্থদের দ্বারা ক্ষতিকারক MSI ফাইলগুলি কার্যকর করার পরে, অতিরিক্ত উপাদান এবং পেলোডগুলি তাদের সিস্টেমে ডাউনলোড এবং কার্যকর করা হয়। পর্যবেক্ষিত ক্ষেত্রে, দ্বিতীয় পর্যায়ের পেলোড ডেলিভারি বৈধ Windows টুল 'BITSAadmin' ব্যবহার করে।
অধ্যবসায় নিশ্চিত করতে এবং রিবুট থেকে বেঁচে থাকার জন্য, স্টার্টআপ ফোল্ডারে LNK ফাইল ('sysupdates.setup.lnk') যোগ করার মাধ্যমে ম্যালওয়্যার শিকারের সিস্টেমে নিজেকে প্রতিষ্ঠিত করে। এই LNK ফাইলগুলিকে একটি PowerShell কমান্ড চালানোর জন্য কনফিগার করা হয়েছে যা, ইনফেকশন স্ক্রিপ্ট ('AutoIT') চালায়।
আপোসকৃত ডিভাইসগুলি মোবাইল ম্যালওয়্যার দ্বারা আক্রান্তদের আর্থিক ডেটা লক্ষ্য করে সংক্রামিত হয়
Google ক্লাউড রানকে কাজে লাগিয়ে প্রচারাভিযানে তিনটি ব্যাঙ্কিং ট্রোজান রয়েছে: ওসাবান, আস্তারোথ এবং মেকোটিও। প্রতিটি ট্রোজান গোপনে সিস্টেমে অনুপ্রবেশ করতে, অধ্যবসায় প্রতিষ্ঠা করতে এবং ব্যাঙ্কিং অ্যাকাউন্টগুলিতে অননুমোদিত অ্যাক্সেসের জন্য অবৈধভাবে সংবেদনশীল আর্থিক ডেটা প্রাপ্ত করার জন্য তৈরি করা হয়।
ওসাবান, একটি ব্যাঙ্কিং ট্রোজান, জাল (ক্লোন করা) ব্যাঙ্কিং পোর্টালগুলির মাধ্যমে ব্যাঙ্কিং শংসাপত্রগুলির জন্য কীলগিং, স্ক্রিনশট ক্যাপচার এবং ফিশিংয়ের মতো ক্ষমতার অধিকারী৷ গবেষকরা দেখেন যে Astaroth সংক্রমণ শৃঙ্খলে পরবর্তী পর্যায়ে Ousaban প্রবর্তিত হয়েছে, যা দুটি ম্যালওয়্যার পরিবারের অপারেটরদের মধ্যে সম্ভাব্য সহযোগিতা বা উভয়ের তত্ত্বাবধানে একক হুমকি অভিনেতার জড়িত থাকার পরামর্শ দেয়।
Astaroth উন্নত ফাঁকি দেওয়ার কৌশল নিযুক্ত করে এবং প্রাথমিকভাবে ব্রাজিলীয় লক্ষ্যগুলির উপর দৃষ্টি নিবদ্ধ করে কিন্তু ল্যাটিন আমেরিকার 15টি দেশে 300 টিরও বেশি আর্থিক প্রতিষ্ঠানে এর পরিধি প্রসারিত করেছে। সম্প্রতি, ম্যালওয়্যারটি ক্রিপ্টোকারেন্সি এক্সচেঞ্জ পরিষেবাগুলির জন্য শংসাপত্র সংগ্রহ করা শুরু করেছে। কীলগিং, স্ক্রিন ক্যাপচার এবং ক্লিপবোর্ড মনিটরিং ব্যবহার করে, Astaroth শুধুমাত্র সংবেদনশীল ডেটা সংগ্রহ করে না বরং ব্যাঙ্কিং শংসাপত্রগুলি ক্যাপচার করতে ইন্টারনেট ট্র্যাফিককে বাধা দেয় এবং ম্যানিপুলেট করে।
মেকোটিও, বেশ কয়েক বছর ধরে সক্রিয়, ল্যাটিন আমেরিকা অঞ্চলে মনোনিবেশ করে। ব্যাঙ্কিং শংসাপত্র এবং ব্যক্তিগত তথ্য চুরি এবং প্রতারণামূলক লেনদেন সম্পাদনের জন্য পরিচিত, মেকোটিও ব্যবহারকারীদের ফিশিং সাইটগুলিতে পুনঃনির্দেশিত করতে ওয়েব ব্রাউজারগুলি পরিচালনা করতে পারে৷
