SilentRoute Trojan

সাইবার অপরাধীরা আবারও বিশ্বস্ত সফটওয়্যারকে অস্ত্র হিসেবে ব্যবহার করার একটি উপায় খুঁজে পেয়েছে, এবার SSL VPN NetExtender-এর একটি ট্রোজানাইজড সংস্করণ তৈরি করে। সাইবার নিরাপত্তা গবেষকদের দ্বারা উন্মোচিত এই আক্রমণ অভিযানটি দূরবর্তী নেটওয়ার্ক অ্যাক্সেস চাওয়া ব্যবহারকারীদের জন্য একটি গুরুতর হুমকি।

ছদ্মবেশে ট্রোজান

এই প্রচারণার কেন্দ্রবিন্দুতে রয়েছে SSL VPN NetExtender ক্লায়েন্টের একটি পরিবর্তিত সংস্করণ, যা দূরবর্তী ব্যবহারকারীদের এন্টারপ্রাইজ নেটওয়ার্কের সাথে নিরাপদে সংযোগ স্থাপনের অনুমতি দেওয়ার জন্য ডিজাইন করা একটি বৈধ টুল। এটি ব্যবহারকারীদের অভ্যন্তরীণ অ্যাপ্লিকেশন চালাতে, শেয়ার্ড ড্রাইভ অ্যাক্সেস করতে এবং ফাইল স্থানান্তর করতে সক্ষম করে যেন তারা কোম্পানির নেটওয়ার্কে শারীরিকভাবে উপস্থিত রয়েছে।

দুর্ভাগ্যবশত, একটি অজানা হুমকি গোষ্ঠী এই সফ্টওয়্যারটির একটি জাল সংস্করণ প্রচার করছে, এতে SilentRoute নামে একটি ম্যালওয়্যার ইনজেক্ট করা হয়েছে। একবার ইনস্টল করার পরে, এই দুর্বৃত্ত সংস্করণটি নীরবে ব্যবহারকারীর কাছ থেকে সংবেদনশীল তথ্য চুরি করে।

আক্রমণ কিভাবে কাজ করে

আক্রমণকারীরা একটি ভুয়া ওয়েবসাইট ব্যবহার করে ক্ষতিকারক NetExtender ইনস্টলারটি হোস্ট করছে, যা বৈধ সংস্করণ 10.3.2.27 হিসেবে ছদ্মবেশে রয়েছে। যদিও ওয়েবসাইটটি সরিয়ে নেওয়া হয়েছে, তবে জানা গেছে যে ইনস্টলারটি CITYLIGHT MEDIA PRIVATE LIMITED দ্বারা ডিজিটালভাবে স্বাক্ষরিত ছিল, যা এটিকে বৈধতার মিথ্যা ধারণা দিচ্ছে।

ভুক্তভোগীদের সম্ভবত নিম্নলিখিত মাধ্যমে ম্যালওয়্যার ডাউনলোড করার জন্য প্রলুব্ধ করা হচ্ছে:

• SEO বিষক্রিয়ার মাধ্যমে অনুসন্ধানের ফলাফলে জাল ওয়েবসাইট দেখা যাচ্ছে
• ক্ষতিকারক লিঙ্ক সহ স্পিয়ার-ফিশিং ইমেল
• বিকৃত প্রচারণা এবং বিভ্রান্তিকর সোশ্যাল মিডিয়া পোস্ট

ডাউনলোড করার পর, ক্ষতিকারক ইনস্টলারটি দুটি গুরুত্বপূর্ণ উপাদান, NeService.exe এবং NetExtender.exe এর পরিবর্তিত সংস্করণ স্থাপন করে, যেগুলিকে ডিজিটাল সার্টিফিকেট যাচাইকরণ উপেক্ষা করার জন্য পরিবর্তন করা হয়েছে। এই উপাদানগুলি নীরবে 132.196.198.163:8080 নম্বরে আক্রমণকারী-নিয়ন্ত্রিত সার্ভারে কনফিগারেশন ডেটা এক্সফিল্টার করে।

কী চুরি হয় এবং কীভাবে

ব্যবহারকারী যখন তাদের VPN শংসাপত্র প্রবেশ করে এবং 'Connect' বোতামটি চাপ দেয়, তখন ট্রোজান চুরি হওয়া ডেটা আক্রমণকারীর সার্ভারে প্রেরণ করার আগে নিজস্ব পরীক্ষা করে। বহিষ্কৃত তথ্যের মধ্যে রয়েছে:

• ব্যবহারকারীর নাম
• পাসওয়ার্ড
• ডোমেইন
• ভিপিএন সার্ভারের বিশদ এবং কনফিগারেশন ডেটা

এই চুরি করা তথ্য আক্রমণকারীদের কর্পোরেট পরিবেশে অননুমোদিত অ্যাক্সেস প্রদান করতে পারে, যা এটিকে একটি গুরুত্বপূর্ণ সাইবার নিরাপত্তা উদ্বেগের বিষয় করে তুলেছে।

সুরক্ষিত থাকার জন্য গুরুত্বপূর্ণ বিষয়গুলি

এই ধরনের হুমকির শিকার না হওয়ার জন্য, সংস্থা এবং ব্যবহারকারীদের উচিত:

• শুধুমাত্র অফিসিয়াল ওয়েবসাইট বা যাচাইকৃত বিক্রেতাদের কাছ থেকে VPN এবং রিমোট অ্যাক্সেস টুল ডাউনলোড করুন।
• ইমেল, বিজ্ঞাপন বা অনুসন্ধান ফলাফলের লিঙ্কগুলিতে ক্লিক করার সময় সতর্ক থাকুন, বিশেষ করে যেগুলি সফ্টওয়্যার ডাউনলোড অফার করে।

অতিরিক্তভাবে, নেটওয়ার্ক প্রশাসকদের অস্বাভাবিক বহির্গামী সংযোগগুলির জন্য নজরদারি করা উচিত এবং নিশ্চিত করা উচিত যে এন্ডপয়েন্ট সুরক্ষা ব্যবস্থাগুলি আপ টু ডেট এবং টেম্পারড এক্সিকিউটেবল সনাক্ত করার জন্য কনফিগার করা হয়েছে।

সর্বশেষ ভাবনা

SilentRoute প্রচারণা ছদ্মবেশ ধারণ এবং সামাজিক প্রকৌশলের মাধ্যমে ম্যালওয়্যার বিতরণের ক্রমবর্ধমান জটিলতা তুলে ধরে। সতর্কতা, শক্তিশালী ডিজিটাল স্বাস্থ্যবিধির সাথে মিলিত হয়ে, এই ধরনের প্রতারণামূলক হুমকির বিরুদ্ধে সর্বোত্তম প্রতিরক্ষা হিসাবে রয়ে গেছে।