TamperedChef স্টিলার
সাইবার নিরাপত্তা গবেষকরা একটি ক্ষতিকারক প্রচারণার সন্ধান পেয়েছেন যা প্রতারণামূলক অনলাইন বিজ্ঞাপন ব্যবহার করে ট্যাম্পারডশেফ নামে পরিচিত একটি নতুন তথ্য চুরিকারীকে ছড়িয়ে দেয়। এই অভিযানটি ব্যবহারকারীদের প্রতারণামূলক সাইটগুলিতে নিয়ে যাওয়ার জন্য ম্যালভার্টাইজিংয়ের উপর নির্ভর করে যেখানে তাদের একটি ট্রোজানাইজড পিডিএফ এডিটর ডাউনলোড করতে প্ররোচিত করা হয়।
সুচিপত্র
লোভ হিসেবে ট্রোজানাইজড পিডিএফ এডিটর
অ্যাপস্যুইট পিডিএফ এডিটর নামে প্রচারিত এই নকল সফটওয়্যারটি ব্যবহারকারীদেরকে এমন কিছু ইনস্টল করতে বাধ্য করে যা বৈধ টুল বলে মনে হয়। ইনস্টলেশনের সময়, ভুক্তভোগীদের একটি পরিষেবার শর্তাবলীর চুক্তি উপস্থাপন করা হয়, যা বৈধতার ভ্রম তৈরি করে। তবে, পর্দার আড়ালে, ইনস্টলার গোপনে একটি রিমোট সার্ভারের সাথে সংযোগ স্থাপন করে এডিটর অ্যাপ্লিকেশনটি ফেলে দেয় এবং একই সাথে স্থায়িত্ব প্রতিষ্ঠার জন্য উইন্ডোজ রেজিস্ট্রি পরিবর্তন করে।
ইনস্টলার নিশ্চিত করে যে প্রোগ্রামটি রিবুট করার পরে স্বয়ংক্রিয়ভাবে চালু হয়, রেজিস্ট্রিতে কমান্ড-লাইন আর্গুমেন্ট (--cm) এম্বেড করে। এই আর্গুমেন্টগুলি ম্যালওয়্যারকে বিভিন্ন ক্ষতিকারক রুটিন চালানোর জন্য নির্দেশাবলী গ্রহণ করতে সক্ষম করে।
আক্রমণের সময়রেখা
তদন্তে দেখা গেছে যে প্রচারণাটি ২৬ জুন, ২০২৫ তারিখে শুরু হয়েছিল, যখন বেশ কয়েকটি জাল সাইট নিবন্ধন করা হয়েছিল এবং পিডিএফ এডিটর প্রচারের জন্য কমপক্ষে পাঁচটি গুগল বিজ্ঞাপন প্রচারণা শুরু হয়েছিল। প্রাথমিকভাবে, প্রোগ্রামটি হুমকিস্বরূপ মনে হয়নি, তবে এটি একটি দূরবর্তী সার্ভার থেকে বারবার আপডেট পরীক্ষা করার জন্য ডিজাইন করা হয়েছিল।
প্রায় দুই মাস পর, ২০২৫ সালের ২১শে আগস্ট, সংক্রামিত মেশিনগুলি TamperedChef-এর ক্ষতিকারক পেলোড সক্রিয় করার নির্দেশাবলী পেতে শুরু করে। এই পর্যায়ক্রমে করা পদ্ধতির ফলে আক্রমণকারীরা ম্যালওয়্যার সক্রিয় করার আগে শিকারের সংখ্যা সর্বাধিক করতে সক্ষম হয়।
টেম্পারডশেফের ক্ষতিকারক ক্ষমতা
একবার সক্রিয় হয়ে গেলে, TamperedChef ইনস্টল করা নিরাপত্তা সরঞ্জামগুলি সনাক্ত করে এবং জোরপূর্বক ওয়েব ব্রাউজারগুলি বন্ধ করে পুনরুদ্ধার করে। এটি এটিকে সংরক্ষিত শংসাপত্র এবং কুকিজের মতো সংবেদনশীল ডেটাতে অ্যাক্সেস দেয়।
আরও বিশ্লেষণে দেখা গেছে যে ম্যালওয়্যার-লেসড এডিটরটি একাধিক কমান্ড-লাইন বিকল্প সহ একটি ব্যাকডোর হিসেবেও কাজ করে। এটি স্থায়িত্ব, পরিষ্কারকরণ, কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভারের সাথে যোগাযোগ এবং ব্রাউজার ডেটার হেরফের সক্ষম করে।
চিহ্নিত মূল কার্যাবলী:
--install: চেক এবং পিং অপারেশন ট্রিগার করার জন্য আপডেট এবং ব্যাকআপ আর্গুমেন্ট সহ চালিত নির্ধারিত কাজগুলি (PDFEditorScheduledTask, PDFEditorUScheduledTask) তৈরি করে।
--ক্লিনআপ: ব্যাকডোর উপাদানগুলি মুছে ফেলার জন্য, হোস্টের নিবন্ধন বাতিল করার জন্য এবং নির্ধারিত কাজগুলি সরানোর জন্য আনইনস্টলার দ্বারা সম্পাদিত।
--ping: আরও ম্যালওয়্যার ডাউনলোড, রেজিস্ট্রি পরিবর্তন এবং ডেটা এক্সফিল্টার করার নির্দেশাবলী গ্রহণের জন্য C2 যোগাযোগ স্থাপন করে।
--check: কনফিগারেশন আপডেটের জন্য C2 এর সাথে যোগাযোগ করে, শংসাপত্র চুরি করে, ব্রাউজার কী পড়ে এবং Chromium, OneLaunch এবং Wave ব্রাউজার পরিবর্তন করে।
--reboot: --check এর অনুরূপ কিন্তু নির্দিষ্ট প্রক্রিয়াগুলি বন্ধ করতেও সক্ষম।
বিজ্ঞাপন প্রচারণার কৌশলগত অপব্যবহার
আক্রমণকারীদের সময় নির্ধারণের ধরণ উল্লেখযোগ্য। প্রচারণা শুরু এবং ক্ষতিকারক সক্রিয়করণের মধ্যে ৫৬ দিনের বিলম্ব গুগল বিজ্ঞাপন প্রচারণার সাধারণ ৬০ দিনের আয়ুষ্কালের সাথে খুব মিল। এর থেকে বোঝা যায় যে হুমকিদাতারা ইচ্ছাকৃতভাবে বিজ্ঞাপনগুলিকে তাদের পূর্ণ গতিতে চলতে দিয়েছিল, TamperedChef-এর সম্পূর্ণ ক্ষমতা ব্যবহার করার আগে এক্সপোজার এবং ডাউনলোড সর্বাধিক করে তুলেছিল।
