Snake Keylogger Variant

স্নেক কিলগারের একটি নতুন রূপ সক্রিয়ভাবে চীন, তুরস্ক, ইন্দোনেশিয়া, তাইওয়ান এবং স্পেনের উইন্ডোজ ব্যবহারকারীদের লক্ষ্য করে তৈরি করা হচ্ছে। গবেষকরা এই নতুন সংস্করণটি ট্র্যাক করেছেন এবং বছরের শুরু থেকে বিশ্বব্যাপী ২৮ কোটি সংক্রমণের প্রচেষ্টার সাথে এটিকে যুক্ত করেছেন, যা এর ব্যাপক প্রভাব তুলে ধরেছে।

ফিশিং ফাঁদ: স্নেক কীলগার কীভাবে ছড়িয়ে পড়ে

স্নেক কিলগারের প্রাথমিক ডেলিভারি পদ্ধতি হলো ফিশিং ইমেল, যাতে হুমকিস্বরূপ সংযুক্তি বা লিঙ্ক থাকে। এই প্রতারণামূলক ইমেলগুলির সাথে যোগাযোগ করার পরে, ম্যালওয়্যারটি অজ্ঞাত ব্যবহারকারীদের সিস্টেমে অ্যাক্সেস অর্জন করে। এটি ক্রোম, এজ এবং ফায়ারফক্সের মতো বহুল ব্যবহৃত ওয়েব ব্রাউজার থেকে সংবেদনশীল ডেটা সংগ্রহের উপর দৃষ্টি নিবদ্ধ করে। এটি কীস্ট্রোক রেকর্ড করে, লগইন শংসাপত্র ক্যাপচার করে এবং ক্লিপবোর্ড কার্যকলাপ পর্যবেক্ষণ করে এটি অর্জন করে।

অপ্রচলিত চ্যানেলের মাধ্যমে তথ্য বহিষ্কার করা

স্নেক কিলগার তথ্য সংগ্রহ করেই থেমে থাকে না - এটি নিশ্চিত করে যে চুরি করা তথ্য অপ্রচলিত চ্যানেলের মাধ্যমে আক্রমণকারীদের কাছে পৌঁছায়। বহিষ্কৃত শংসাপত্র এবং সংবেদনশীল বিবরণ সিম্পল মেইল ট্রান্সফার প্রোটোকল (SMTP) বা টেলিগ্রাম বটের মাধ্যমে প্রেরণ করা হয়। এই পদ্ধতিগুলি ব্যবহার করে, ম্যালওয়্যার কিছু ঐতিহ্যবাহী সুরক্ষা ব্যবস্থা উপেক্ষা করে আক্রমণকারী-নিয়ন্ত্রিত সার্ভারগুলিতে চুরি করা তথ্যের অবিচ্ছিন্ন প্রবাহ বজায় রাখে।

অটোআইটি: একটি চতুর ইভেশন টেকনিক

এই সাম্প্রতিক আক্রমণের ধারাটি আলাদা করে তোলে প্রাথমিক পেলোড চালানোর জন্য অটোআইটি স্ক্রিপ্টিং ভাষার ব্যবহার। ম্যালওয়্যারটি একটি অটোআইটি-কম্পাইল করা বাইনারির মধ্যে এমবেড করা হয়েছে, যা এটিকে ঐতিহ্যবাহী সনাক্তকরণ প্রক্রিয়া এড়াতে সাহায্য করে। এই পদ্ধতিটি কেবল স্ট্যাটিক বিশ্লেষণকে আরও চ্যালেঞ্জিং করে না বরং বৈধ অটোমেশন সরঞ্জামগুলির ঘনিষ্ঠভাবে অনুকরণ করে গতিশীল আচরণকেও সক্ষম করে, এর উপস্থিতি আরও গোপন করে।

আপোষিত সিস্টেমের উপর স্থায়িত্ব প্রতিষ্ঠা করা

একবার কার্যকর করার পরে, Snake Keylogger নিশ্চিত করে যে এটি সংক্রামিত সিস্টেমে সক্রিয় থাকে। এটি '%Local_AppData%\supergroup' ডিরেক্টরিতে 'ageless.exe' হিসাবে নিজের একটি কপি ফেলে দেয়। এর অবস্থান শক্তিশালী করার জন্য, এটি উইন্ডোজ স্টার্টআপ ফোল্ডারে 'ageless.vbs' নামে একটি ভিজ্যুয়াল বেসিক স্ক্রিপ্ট (VBS) ফাইলও রাখে। এটি নিশ্চিত করে যে প্রতিবার সিস্টেম রিবুট করার সময়, ম্যালওয়্যারটি স্বয়ংক্রিয়ভাবে পুনরায় চালু হয়, যার ফলে এটির প্রক্রিয়াগুলি বন্ধ হয়ে গেলেও এটি টিকে থাকতে পারে।

প্রক্রিয়া ফাঁপা: সরল দৃষ্টিতে লুকিয়ে থাকা

আক্রমণের চূড়ান্ত পর্যায়ে প্রাথমিক পেলোডকে একটি বৈধ .NET প্রক্রিয়ায়, যেমন 'regsvcs.exe'-তে ইনজেক্ট করা হয়, যা প্রসেস হোলোয়িং নামে পরিচিত একটি কৌশল ব্যবহার করে। এর ফলে, স্নেক কীলগার একটি বিশ্বস্ত প্রক্রিয়ার আড়ালে কাজ করতে সক্ষম হয়, যা এটি সনাক্ত করা উল্লেখযোগ্যভাবে আরও চ্যালেঞ্জিং করে তোলে।

কীস্ট্রোক লগ করা এবং ভুক্তভোগীদের ট্র্যাক করা

ক্রেডেনশিয়াল চুরির পাশাপাশি, স্নেক কিলগার কীস্ট্রোক লগ করে ব্যবহারকারীর কার্যকলাপ পর্যবেক্ষণ করে। এটি WH_KEYBOARD_LL ফ্ল্যাগ (ফ্ল্যাগ ১৩) সহ SetWindowsHookEx API ব্যবহার করে, যা কীস্ট্রোক ক্যাপচার করার জন্য ডিজাইন করা একটি নিম্ন-স্তরের কীবোর্ড হুক। এই পদ্ধতিটি এটিকে ব্যাংকিং বিবরণ এবং পাসওয়ার্ড সহ সংবেদনশীল ইনপুট রেকর্ড করতে সক্ষম করে। অতিরিক্তভাবে, ম্যালওয়্যারটি শিকারের আইপি ঠিকানা এবং ভূ-অবস্থান নির্ধারণ করতে checkip.dyndns.org এর মতো বহিরাগত পরিষেবা ব্যবহার করে, যা এর ডেটা সংগ্রহের ক্ষমতা আরও উন্নত করে।

একটি স্থায়ী এবং ক্রমবর্ধমান হুমকি

স্নেক কিলগারের পুনরুত্থান সাইবার হুমকির ক্রমবর্ধমান প্রকৃতির উপর জোর দেয়। অটোআইটি স্ক্রিপ্টিং এবং প্রসেস হোলিংয়ের মতো নতুন কৌশল ব্যবহার করে, এটি বিপুল সংখ্যক সিস্টেমের সাথে আপস করে সনাক্তকরণ এড়াতে থাকে। এই ক্রমাগত হুমকির সাথে সম্পর্কিত ঝুঁকি হ্রাস করার জন্য এর পদ্ধতি সম্পর্কে অবগত থাকা এবং ইমেল পরিচালনা করার সময় সতর্কতা অবলম্বন করা অত্যন্ত গুরুত্বপূর্ণ।