পিকাবট ম্যালওয়্যার
ইনফোসেক গবেষকরা পিকাবট ম্যালওয়্যারকে অন্তর্ভুক্ত করে একটি অত্যন্ত পরিশীলিত ফিশিং প্রচারাভিযান সনাক্ত করেছেন, এটিকে কাকবট অপারেশনটি ভেঙে দেওয়ার পর থেকে এটিকে সবচেয়ে উন্নত ফিশিং অপারেশন হিসাবে চিহ্নিত করেছে৷ এই প্রতারণামূলক ইমেল প্রচারাভিযানটি 2023 সালের সেপ্টেম্বরে শুরু হয়েছিল, এফবিআই এর সফল জব্দ এবং QBot এর (Qakbot) অবকাঠামো বন্ধ করার পরে।
গবেষকদের মতে, PikaBot এর আগে, আক্রমণ অভিযান প্রাথমিকভাবে ডার্ক গেট নামে একটি হুমকি ব্যবহার করেছিল। আক্রমণকারীদের দ্বারা নিযুক্ত কৌশল এবং কৌশলগুলি পূর্ববর্তী কাকবট প্রচারাভিযানে দেখা সেইগুলিকে ঘনিষ্ঠভাবে প্রতিফলিত করে, যা Qbot হুমকি অভিনেতাদের নতুন ম্যালওয়্যার বটনেটে রূপান্তরের পরামর্শ দেয়।
Qbot ইমেইলের মাধ্যমে ছড়িয়ে পড়া সবচেয়ে ব্যাপক ম্যালওয়্যার বটনেটের মধ্যে ছিল। এখন, ডার্কগেট এবং পিকাবট, যা মডুলার ম্যালওয়্যার লোডার হিসাবে Qbot- এর সাথে অসংখ্য বৈশিষ্ট্য ভাগ করে, এন্টারপ্রাইজগুলির জন্য একটি উল্লেখযোগ্য হুমকি উপস্থাপন করে। Qbot-এর মতো, এই নতুন ম্যালওয়্যার লোডারগুলিকে নেটওয়ার্কগুলিতে প্রাথমিক অ্যাক্সেস পেতে হুমকি অভিনেতাদের দ্বারা নিযুক্ত করা হবে বলে আশা করা হচ্ছে, যা সম্ভাব্যভাবে র্যানসমওয়্যার, গুপ্তচরবৃত্তি এবং ডেটা চুরির আক্রমণের দিকে পরিচালিত করে।
PikaBot ফিশিং আক্রমণের মাধ্যমে বিতরণ করা হয়
ইনফোসেক গবেষকরা ডার্কগেট ম্যালওয়্যার প্রচারকারী জালিয়াতি-সম্পর্কিত ইমেলগুলির একটি উল্লেখযোগ্য বৃদ্ধি লক্ষ্য করেছেন, হুমকি অভিনেতারা 2023 সালের অক্টোবর থেকে শুরু হওয়া প্রাথমিক পেলোড হিসাবে পিকাবট স্থাপনে স্থানান্তরিত হয়েছে৷ ফিশিং প্রচারাভিযানটি একটি ইমেল ছদ্মবেশ ধারণ করে একটি উত্তর হিসাবে বা একটি চুরি করা আলোচনার এগিয়ে যাওয়ার সাথে শুরু হয়৷ থ্রেড, প্রাপকদের মধ্যে আস্থা বাড়ানোর লক্ষ্যে একটি কৌশল।
এমবেড করা URL-এ ক্লিক করার পরে, ব্যবহারকারীদের লক্ষ্য হিসাবে তাদের বৈধতা নিশ্চিত করার জন্য একাধিক চেক করা হয়, পরবর্তীতে একটি ম্যালওয়্যার ড্রপার হাউজিং একটি ZIP সংরক্ষণাগার ডাউনলোড করার জন্য অনুরোধ করা হয়। এই ড্রপারটি দূরবর্তী সংস্থান থেকে চূড়ান্ত পেলোড পুনরুদ্ধার করে।
আক্রমণকারীরা কার্যকারিতা নির্ধারণের জন্য বিভিন্ন প্রাথমিক ম্যালওয়্যার ড্রপারের সাথে পরীক্ষা করেছিল, যার মধ্যে রয়েছে:
- একটি জাভাস্ক্রিপ্ট ড্রপার (জেএস ড্রপার) পিই বা ডিএলএল ডাউনলোড এবং কার্যকর করার জন্য ডিজাইন করা হয়েছে।
- একটি এক্সেল-ডিএনএ লোডার এক্সএলএল ফাইল তৈরির উদ্দেশ্যে একটি ওপেন-সোর্স প্রজেক্টের ব্যবহার করে, ম্যালওয়্যার ডাউনলোড এবং চালানোর জন্য এখানে ব্যবহার করা হয়েছে।
- VBS (ভার্চুয়াল বেসিক স্ক্রিপ্ট) ডাউনলোডাররা মাইক্রোসফ্ট অফিস ডকুমেন্টে .vbs ফাইলের মাধ্যমে ম্যালওয়্যার চালাতে বা কমান্ড-লাইন এক্সিকিউটেবল আহ্বান করতে সক্ষম।
- LNK ডাউনলোডার যারা ম্যালওয়্যার ডাউনলোড এবং চালানোর জন্য Microsoft শর্টকাট ফাইল (.lnk) অপব্যবহার করে।
পুরো সেপ্টেম্বর 2023 জুড়ে, ডার্কগেট ম্যালওয়্যার এই আক্রমণগুলিতে চূড়ান্ত পেলোড হিসাবে কাজ করেছিল, কিন্তু পরবর্তীতে এটি 2023 সালের অক্টোবরে পিকাবট দ্বারা প্রতিস্থাপিত হয়েছিল।
PikaBot-এর বিস্তৃত অ্যান্টি-অ্যানালাইসিস ব্যবস্থা রয়েছে
2023 সালের প্রথম দিকে প্রবর্তিত, PikaBot হল একটি সমসাময়িক ম্যালওয়্যার যাতে একটি লোডার এবং একটি মূল মডিউল রয়েছে, যা শক্তিশালী অ্যান্টি-ডিবাগিং, অ্যান্টি-ভিএম এবং অ্যান্টি-ইমুলেশন মেকানিজম দিয়ে সজ্জিত। এই ম্যালওয়্যারটি সতর্কতার সাথে সংক্রামিত সিস্টেমগুলিকে প্রোফাইল করে এবং সংগৃহীত ডেটা তার কমান্ড অ্যান্ড কন্ট্রোল (C2) পরিকাঠামোতে প্রেরণ করে, যেখানে এটি পরবর্তী নির্দেশের জন্য অপেক্ষা করে।
C2 ম্যালওয়্যারকে মডিউল ডাউনলোড এবং চালানোর নির্দেশ দেয়, যা DLL বা PE ফাইল, শেলকোড বা কমান্ড-লাইন কমান্ডের আকারে উপলব্ধ, একটি টুল হিসাবে এর বহুমুখিতা প্রদর্শন করে।
গবেষকরা সতর্ক করেছেন যে পিকাবট এবং ডার্কগেট প্রচারাভিযানগুলি পারদর্শী হুমকি অভিনেতাদের দ্বারা সাজানো হয়েছে যাদের দক্ষতা সাধারণ ফিশারদের থেকে ছাড়িয়ে গেছে। ফলস্বরূপ, সংস্থাগুলিকে এই প্রচারাভিযানের সাথে সম্পর্কিত কৌশল, কৌশল এবং পদ্ধতি (TTPs) এর সাথে নিজেদের পরিচিত করার জন্য অনুরোধ করা হচ্ছে।
