TamperedChef Malware

হুমকিদাতারা TamperedChef নামে পরিচিত একটি বিশ্বব্যাপী ম্যালভার্টাইজিং প্রচারণায় ব্যাপকভাবে ব্যবহৃত অ্যাপ্লিকেশন হিসেবে ছদ্মবেশে ভুয়া ইনস্টলারদের কাজে লাগাচ্ছে। এই জাল প্রোগ্রামগুলি ডাউনলোডকারী ব্যবহারকারীরা অসাবধানতাবশত তাদের সিস্টেমে স্থায়িত্ব প্রতিষ্ঠার জন্য ডিজাইন করা ম্যালওয়্যার ইনস্টল করে এবং দূরবর্তী অ্যাক্সেস এবং নিয়ন্ত্রণের জন্য একটি জাভাস্ক্রিপ্ট ব্যাকডোর স্থাপন করে। রিপোর্ট করার সময়, প্রচারণাটি সক্রিয় ছিল, নতুন ক্ষতিকারক শিল্পকর্ম সনাক্ত করা হয়েছিল এবং সংশ্লিষ্ট অবকাঠামো এখনও কার্যকর ছিল।

সামাজিক প্রকৌশল এবং আস্থা শোষণ

TamperedChef-এর পিছনে থাকা অপারেটররা ব্যবহারকারীর আস্থা বৃদ্ধি করতে এবং সনাক্তকরণ এড়াতে সামাজিক প্রকৌশল কৌশল ব্যবহার করে। তাদের পদ্ধতিগুলির মধ্যে রয়েছে:

• ডাউনলোড প্রলুব্ধ করার জন্য পরিচিত অ্যাপ্লিকেশনের নাম ব্যবহার করা
• অনলাইন বিজ্ঞাপনের মাধ্যমে ব্যবহারকারীদের কাছে পৌঁছানোর জন্য ম্যালভার্টাইজিং প্রচারণা স্থাপন করা
• অনুসন্ধান ফলাফলে উপস্থিত হওয়ার জন্য অনুসন্ধান ইঞ্জিন অপ্টিমাইজেশন (SEO) কৌশল ব্যবহার করা
• অপব্যবহার করা ডিজিটাল সার্টিফিকেট দিয়ে ম্যালওয়্যার স্বাক্ষর করা, যা বৈধতার আভাস দেয়

মার্কিন যুক্তরাষ্ট্র, পানামা এবং মালয়েশিয়ায় নিবন্ধিত শেল কোম্পানিগুলিকে প্রায়শই সার্টিফিকেট দেওয়া হয়। পুরানো সার্টিফিকেট বাতিল হওয়ার সাথে সাথে, আক্রমণকারীরা ক্রমাগত বিভিন্ন কোম্পানির নামে নতুন সার্টিফিকেট অর্জন করে, বৈধতার চেহারা বজায় রাখে। ইনফোসেক বিশেষজ্ঞরা এই অবকাঠামোকে অত্যন্ত সুসংগঠিত হিসাবে বর্ণনা করেছেন, যা বিশ্বস্ত-সুদর্শন ইনস্টলারগুলির স্থির উৎপাদনকে সক্ষম করে।

ম্যালওয়্যার পরিবার এবং প্রচারণার প্রসঙ্গ

TamperedChef হল EvilAI নামক একটি বৃহত্তর প্রচারণার অংশ, যা ম্যালওয়্যার বিতরণের জন্য কৃত্রিম বুদ্ধিমত্তা (AI) সরঞ্জাম এবং সফ্টওয়্যারের সাথে সংযুক্ত লোভ ব্যবহার করে। যদিও TamperedChef নিজেই ম্যালওয়্যার পরিবারের জন্য ব্যাপকভাবে গৃহীত নাম হয়ে উঠেছে, কিছু প্রতিবেদনে এটি BaoLoader নামেও ট্র্যাক করা হয়েছে। TamperedChef নামটি সাইবার নিরাপত্তা প্রকাশনা এবং বিক্রেতা সনাক্তকরণের ক্ষেত্রে ধারাবাহিকতা বজায় রাখতে সাহায্য করে, যদিও এটি একটি ক্ষতিকারক রেসিপি অ্যাপ্লিকেশনে এমবেড করা মূল TamperedChef ম্যালওয়্যার থেকে আলাদা।

আক্রমণ কীভাবে ছড়িয়ে পড়ে

একটি সাধারণ আক্রমণের দৃশ্যকল্পের মধ্যে রয়েছে:

• সার্চ ইঞ্জিনে পিডিএফ এডিটর বা পণ্য ম্যানুয়াল অনুসন্ধানকারী ব্যবহারকারীদের বিষাক্ত URL বা ক্ষতিকারক বিজ্ঞাপন পরিবেশন করা হয়।
• এই লিঙ্কগুলিতে ক্লিক করলে ব্যবহারকারীরা বুবি-ট্র্যাপড ডোমেনগুলিতে পুনঃনির্দেশিত হয়, যা প্রায়শই NameCheap-এর মাধ্যমে নিবন্ধিত হয়, যা তাদের একটি নকল ইনস্টলার ডাউনলোড করতে প্ররোচিত করে।
• ইনস্টলার ব্যবহারকারীদের স্ট্যান্ডার্ড লাইসেন্সিং শর্তাবলীতে সম্মত হতে বলে, তারপর কৌশলটি বজায় রাখার জন্য একটি নতুন ব্রাউজার ট্যাবে একটি ধন্যবাদ পৃষ্ঠা খোলে।

• ব্যাকগ্রাউন্ডে, একটি XML ফাইল বাদ দেওয়া হয়, যা একটি নির্ধারিত কাজ তৈরি করে যা একটি অস্পষ্ট জাভাস্ক্রিপ্ট ব্যাকডোর চালু করে।

• ব্যাকডোরটি বহিরাগত সার্ভারের সাথে যোগাযোগ করে, সেশন আইডি এবং মেশিন আইডির মতো সিস্টেম মেটাডেটা প্রেরণ করে, যা HTTPS এর মাধ্যমে এনক্রিপ্ট করা Base64 JSON-এ এনকোড করা থাকে।

এই প্রচারণার চূড়ান্ত লক্ষ্য এখনও অস্পষ্ট। কিছু ম্যালওয়্যার ভেরিয়েন্ট বিজ্ঞাপন জালিয়াতিকে সহজতর করে, আবার কিছু সাইবার অপরাধীদের কাছে অ্যাক্সেস বিক্রি করে অথবা গোপন ফোরামের জন্য সংবেদনশীল তথ্য সংগ্রহ করে নগদীকরণ করা যেতে পারে।

ভৌগোলিক এবং খাতগত প্রভাব

টেলিমেট্রি ইঙ্গিত দেয় যে মার্কিন ব্যবহারকারীরা সবচেয়ে বেশি ক্ষতিগ্রস্ত, ইসরায়েল, স্পেন, জার্মানি, ভারত এবং আয়ারল্যান্ডে অতিরিক্ত সংক্রমণের খবর পাওয়া গেছে। স্বাস্থ্যসেবা, নির্মাণ এবং উৎপাদন খাতগুলি সবচেয়ে বেশি ক্ষতিগ্রস্ত হয়েছে, সম্ভবত বিশেষায়িত সরঞ্জামের উপর তাদের ঘন ঘন নির্ভরতা এবং পণ্য ম্যানুয়ালগুলির জন্য অনলাইন অনুসন্ধানের কারণে, যা আক্রমণকারীরা কাজে লাগায়।