SapphireStealer ম্যালওয়্যার
একাধিক গোষ্ঠী তাদের সক্ষমতা বাড়াতে এবং কাস্টমাইজড সংস্করণ তৈরি করতে .NET ফ্রেমওয়ার্কের উপর নির্মিত SapphireStealer নামে একটি ওপেন-সোর্স তথ্য-সংগ্রহকারী ম্যালওয়্যার নিয়োগ করে। সাইবারসিকিউরিটি বিশেষজ্ঞরা প্রকাশ করেছেন যে SapphireStealer-এর মতো তথ্য-সংগ্রহকারী ম্যালওয়্যার কর্পোরেট লগইন শংসাপত্র সহ গুরুত্বপূর্ণ ডেটা অর্জনের জন্য নিযুক্ত করা হয়। এই অর্জিত শংসাপত্রগুলি প্রায়শই অন্যান্য অসুস্থ মানসিকতার অভিনেতাদের কাছে বিক্রি করা হয় যারা গুপ্তচরবৃত্তি থেকে শুরু করে র্যানসমওয়্যার এবং চাঁদাবাজি অপারেশন পর্যন্ত আরও আক্রমণ শুরু করার জন্য তাদের শোষণ করে।
এই ধরনের ম্যালওয়্যার শুধুমাত্র সাইবার ক্রাইম-এ-সার্ভিস (CaaS) মডেলের অগ্রগতি নির্দেশ করে না বরং অন্যান্য জালিয়াতি-সম্পর্কিত অভিনেতাদের জন্য র্যানসমওয়্যার বিতরণ, ডেটা চুরি এবং জড়িত থাকার সুবিধার মাধ্যমে চুরি করা ডেটা থেকে লাভের সুযোগও দেয়। অন্যান্য বিভিন্ন ঘৃণ্য সাইবার কার্যক্রমে।
SapphireStealer আপস করা ডিভাইস থেকে বিভিন্ন সংবেদনশীল তথ্য ক্যাপচার করে
SapphireStealer, একটি .NET-ভিত্তিক তথ্য-সংগ্রহকারী ম্যালওয়্যার, একটি সহজবোধ্য অথচ কার্যকর বৈশিষ্ট্যের সেট রয়েছে যা আপস করা সিস্টেম থেকে সংবেদনশীল ডেটা বের করার জন্য ডিজাইন করা হয়েছে। এর ক্ষমতার মধ্যে রয়েছে:
-
- হোস্ট তথ্য সংগ্রহ.
-
- স্ক্রিনশট ক্যাপচার করা হচ্ছে।
-
- ক্যাশ করা ব্রাউজার শংসাপত্র সংগ্রহ করা হচ্ছে।
-
- পূর্বনির্ধারিত ফাইল এক্সটেনশনের উপর ভিত্তি করে সংক্রামিত সিস্টেমে নির্দিষ্ট ফাইলগুলি সনাক্ত করা এবং লক্ষ্য করা।
এটির প্রাথমিক সঞ্চালনের পরে, ম্যালওয়্যারটি সিস্টেমে কোনও সক্রিয় ব্রাউজার প্রক্রিয়াগুলির উপস্থিতি নির্ধারণের জন্য একটি পরীক্ষা পরিচালনা করে৷ এটি নিম্নলিখিত প্রক্রিয়ার নামের সাথে মিলগুলির জন্য বর্তমানে চলমান প্রক্রিয়াগুলির তালিকা স্ক্যান করে: chrome, yandex, msedge এবং Opera। যদি কোনো মিল প্রসেস পাওয়া যায়, ম্যালওয়্যার সেগুলিকে বন্ধ করতে Process.Kill() পদ্ধতি ব্যবহার করে।
উপরন্তু, ম্যালওয়্যারটি ক্রোম, অপেরা, ইয়ানডেক্স, ব্রেভ ব্রাউজার, মাইক্রোসফ্ট এজ, অ্যাটম ব্রাউজার এবং আরও অনেক কিছু সহ প্রায় 15টি ভিন্ন ওয়েব ব্রাউজারগুলির সাথে সম্পর্কিত শংসাপত্রের ডেটাবেসের অস্তিত্ব সনাক্ত করতে ফাইল পাথগুলির একটি হার্ড-কোডেড তালিকা ব্যবহার করে৷
পরবর্তীকালে, SapphireStealer আপস করা সিস্টেম থেকে একটি স্ক্রিনশট ক্যাপচার করার চেষ্টা করে, এটিকে 'Screenshot.png' ফাইলের অধীনে একই ওয়ার্কিং ডিরেক্টরিতে সংরক্ষণ করে। এর ডেটা সংগ্রহের প্রচেষ্টাকে প্রসারিত করতে, ম্যালওয়্যারটি একটি ফাইল গ্র্যাবার কম্পোনেন্টকে ট্রিগার করে, যার লক্ষ্য ভিকটিমদের ডেস্কটপ ফোল্ডারের মধ্যে ফাইলগুলি সনাক্ত করা যা ফাইল এক্সটেনশনগুলির একটি পূর্বনির্ধারিত তালিকার সাথে মেলে।
অবশেষে, পিলফার্ড ডেটা আক্রমণকারীর কাছে সিম্পল মেল ট্রান্সফার প্রোটোকল (SMTP) এর মাধ্যমে প্রেরণ করা হয়, প্রয়োজনীয় শংসাপত্রগুলি বার্তা রচনা এবং প্রেরণের জন্য দায়ী কোডের মধ্যে নির্দিষ্ট করা হয়।
SapphireStealer ভেরিয়েন্টগুলি সক্রিয়ভাবে সাইবার অপরাধীদের দ্বারা বিকাশ করা হচ্ছে
SapphireStealer অনেক অন্যান্য ডেটা-সংগ্রহকারী ম্যালওয়্যার স্ট্রেনগুলির সাথে সাদৃশ্যপূর্ণ যা ডার্ক ওয়েবে ক্রমবর্ধমানভাবে প্রচলিত হয়ে উঠেছে। যাইহোক, যা এটিকে আলাদা করে তা হল যে এটির সোর্স কোডটি 2022 সালের ডিসেম্বরের শেষের দিকে বিনামূল্যে প্রকাশ করা হয়েছিল। এটি জালিয়াতি-সম্পর্কিত অভিনেতাদের ম্যালওয়্যার নিয়ে পরীক্ষা করার ক্ষমতা দিয়েছে, এটি সনাক্ত করা আরও চ্যালেঞ্জিং করে তুলেছে। ফলস্বরূপ, তারা অভিযোজিত ডেটা এক্সফিল্ট্রেশন পদ্ধতি চালু করেছে, যেমন একটি ডিসকর্ড ওয়েবহুক বা টেলিগ্রাম API ব্যবহার করা।
এই হুমকির অসংখ্য বৈচিত্র ইতিমধ্যেই বন্য অঞ্চলে প্রকাশ পেয়েছে, হুমকি অভিনেতারা সময়ের সাথে সাথে ক্রমাগত তাদের দক্ষতা এবং কার্যকারিতা পরিমার্জন করে।
উপরন্তু, ম্যালওয়্যার লেখক একটি .NET ম্যালওয়্যার ডাউনলোডারকে সর্বজনীন করেছেন, কোডনাম FUD-লোডার, যা আক্রমণকারীদের দ্বারা নিয়ন্ত্রিত সার্ভার থেকে অতিরিক্ত বাইনারি পেলোড পুনরুদ্ধার করার অনুমতি দেয়৷ এই ডাউনলোডারটি ইতিমধ্যেই কাজ করে দেখা গেছে, DCRat, njRAT , DarkComet এবং Agent Tesla- এর মতো রিমোট অ্যাক্সেস ট্রোজান (RAT) হুমকি প্রদান করছে।
