TCLBANKER ব্যাংকিং ট্রোজান
সাইবার নিরাপত্তা গবেষকরা TCLBANKER নামে পূর্বে অনুল্লিখিত একটি ব্রাজিলীয় ব্যাংকিং ট্রোজান উন্মোচন করেছেন, যা ৫৯টি ব্যাংকিং, ফিনটেক এবং ক্রিপ্টোকারেন্সি প্ল্যাটফর্মকে লক্ষ্য করে তৈরি একটি অত্যন্ত উন্নত ম্যালওয়্যার স্ট্রেইন। এই ক্যাম্পেইনটি বর্তমানে REF3076 নামে ট্র্যাক করা হচ্ছে এবং ধারণা করা হচ্ছে এটি কুখ্যাত ম্যাভেরিক ম্যালওয়্যার পরিবারের একটি উল্লেখযোগ্য বিবর্তন, যা পূর্বে ওয়াটার সাকি থ্রেট ক্লাস্টারের সাথে যুক্ত ছিল।
TCLBANKER উন্নত বিশ্লেষণ-বিরোধী কৌশল, গোপনীয়তা-কেন্দ্রিক পেলোড সরবরাহ এবং আপোসকৃত যোগাযোগ প্ল্যাটফর্মের মাধ্যমে বৃহৎ পরিসরে বিস্তারের ক্ষমতাকে একীভূত করে পূর্ববর্তী আক্রমণ পদ্ধতিগুলোকে আরও প্রসারিত করে।
সুচিপত্র
এড়ানোর জন্য তৈরি একটি গোপনীয় সংক্রমণ শৃঙ্খল
আক্রমণটি একটি ক্ষতিকারক ZIP আর্কাইভের মাধ্যমে শুরু হয়, যার মধ্যে থাকা MSI ইনস্টলারটি Logi AI Prompt Builder নামক একটি বৈধভাবে স্বাক্ষরিত লজিটেক অ্যাপ্লিকেশনকে অপব্যবহার করে। DLL সাইড-লোডিংয়ের মাধ্যমে, ম্যালওয়্যারটি বিশ্বস্ত অ্যাপ্লিকেশনটিকে 'screen_retriever_plugin.dll' নামক একটি ক্ষতিকারক লাইব্রেরি লোড করতে বাধ্য করে, যা মূল লোডার হিসেবে কাজ করে।
এই লোডারটিতে একটি ব্যাপক ওয়াচডগ সাবসিস্টেম অন্তর্ভুক্ত রয়েছে, যা বিশেষভাবে শনাক্তকরণ এড়ানোর জন্য তৈরি করা হয়েছে। এটি ডিবাগার, অ্যান্টিভাইরাস প্রোডাক্ট, ডিসঅ্যাসেম্বলার, স্যান্ডবক্স এবং ইন্সট্রুমেন্টেশন টুলসহ বিভিন্ন নিরাপত্তা ও বিশ্লেষণমূলক পরিবেশের জন্য ক্রমাগত স্ক্যান করে। এক্সিকিউশন কেবল তখনই অগ্রসর হয় যখন 'logiaipromptbuilder.exe' বা 'tclloader.exe'-এর মতো অনুমোদিত প্রসেস দ্বারা ডিএলএল (DLL) চালু করা হয়; এদের মধ্যে শেষেরটি সম্ভবত অভ্যন্তরীণ পরীক্ষার সাথে যুক্ত।
নিরাপত্তা পর্যবেক্ষণ আরও এড়ানোর জন্য, ম্যালওয়্যারটি এন্ডপয়েন্ট প্রোটেকশন সলিউশন দ্বারা 'ntdll.dll'-এর মধ্যে থাকা ইউজারমোড হুকগুলো মুছে ফেলে এবং ইভেন্ট ট্রেসিং ফর উইন্ডোজ (ETW) টেলিমেট্রি নিষ্ক্রিয় করে দেয়। এটি অ্যান্টি-ডিবাগিং চেক, ভার্চুয়ালাইজেশন ডিটেকশন, ডিস্কের তথ্য এবং অপারেটিং সিস্টেমের ভাষা সেটিংসের উপর ভিত্তি করে একাধিক সিস্টেম ফিঙ্গারপ্রিন্টও তৈরি করে। এই ফিঙ্গারপ্রিন্টগুলো একটি এনভায়রনমেন্ট হ্যাশ তৈরি করে, যা এমবেডেড পেলোড ডিক্রিপ্ট করতে ব্যবহৃত হয়।
ম্যালওয়্যারটি বিশেষভাবে যাচাই করে দেখে যে টার্গেট সিস্টেমটি ব্রাজিলিয়ান পর্তুগিজ ভাষা ব্যবহার করে কি না। ডিবাগিং বা বিশ্লেষণের সামান্যতম ইঙ্গিত পেলেই একটি ভুল হ্যাশ ভ্যালু তৈরি হয়, যা সফলভাবে পেলোড ডিক্রিপশনে বাধা দেয় এবং প্রোগ্রামটির কার্যক্রম সম্পূর্ণরূপে থামিয়ে দেয়।
সম্পূর্ণ সিস্টেম নিয়ন্ত্রণের জন্য ডিজাইন করা ব্যাংকিং ট্রোজান সক্ষমতা
অ্যান্টি-অ্যানালাইসিস চেকগুলো সম্পন্ন হওয়ার পর, মূল ব্যাংকিং ট্রোজানটি স্থাপন করা হয়। সিস্টেমটি একজন ব্রাজিলিয়ান ব্যবহারকারীর, এটি নিশ্চিত করার পর ম্যালওয়্যারটি নির্ধারিত টাস্কের মাধ্যমে সিস্টেমে স্থায়ী অবস্থান প্রতিষ্ঠা করে এবং সিস্টেমের তথ্য সম্বলিত HTTP POST রিকোয়েস্ট ব্যবহার করে একটি বাহ্যিক কমান্ড-অ্যান্ড-কন্ট্রোল সার্ভারের সাথে যোগাযোগ করে।
TCLBANKER-এ স্ব-আপডেট কার্যকারিতা রয়েছে এবং এটি UI অটোমেশন কৌশলের মাধ্যমে ফোরগ্রাউন্ড ব্রাউজারের অ্যাড্রেস বার থেকে URL সংগ্রহ করে ব্রাউজারের কার্যকলাপ সক্রিয়ভাবে পর্যবেক্ষণ করে। এই ম্যালওয়্যারটি বহুল ব্যবহৃত ব্রাউজারগুলোকে লক্ষ্য করে, যার মধ্যে রয়েছে:
- গুগল ক্রোম
- মোজিলা ফায়ারফক্স
- মাইক্রোসফট এজ
- সাহসী
- অপেরা
- ভিভাল্ডি
যখন কোনো নজরদারিতে থাকা ব্যাংকিং বা ক্রিপ্টোকারেন্সি ওয়েবসাইট শনাক্ত হয়, তখন TCLBANKER একটি রিমোট সার্ভারের সাথে WebSocket সংযোগ স্থাপন করে এবং একটি কমান্ড এক্সিকিউশন লুপে প্রবেশ করে। এর ফলে আক্রমণকারীরা দূর থেকে বিভিন্ন ধরনের ক্ষতিকর কার্যকলাপ সম্পাদন করতে পারে, যার মধ্যে রয়েছে সিস্টেম রিকনেসান্স, ক্লিপবোর্ড ম্যানিপুলেশন, কী-লগিং, স্ক্রিনশট ক্যাপচার, স্ক্রিন স্ট্রিমিং, রিমোট মাউস ও কিবোর্ড নিয়ন্ত্রণ, প্রসেস ম্যানেজমেন্ট এবং নকল ক্রেডেনশিয়াল-হার্ভেস্টিং ওভারলে স্থাপন।
উন্নত সামাজিক প্রকৌশল এবং পরিচয়পত্র চুরি
TCLBANKER সংবেদনশীল তথ্য চুরি করার জন্য সোশ্যাল ইঞ্জিনিয়ারিংয়ের ওপর ব্যাপকভাবে নির্ভর করে। এই ম্যালওয়্যারটি একটি উইন্ডোজ প্রেজেন্টেশন ফাউন্ডেশন (WPF)-ভিত্তিক ফুল-স্ক্রিন ওভারলে ফ্রেমওয়ার্ক ব্যবহার করে, যা অত্যন্ত বিশ্বাসযোগ্য ফিশিং ইন্টারফেস প্রদর্শন করতে সক্ষম। এই ওভারলেগুলো আসল ব্যাংকিং প্রম্পট, নকল উইন্ডোজ আপডেট, প্রোগ্রেস বার এবং ভয়েস-ফিশিং ওয়েটিং স্ক্রিনের অনুকরণ করে, যা ভুক্তভোগীদেরকে তাদের ক্রেডেনশিয়াল প্রকাশ করতে প্ররোচিত করার জন্য ডিজাইন করা হয়েছে।
বিশেষভাবে উল্লেখ্য যে, এই ওভারলেগুলো স্ক্রিন-ক্যাপচার ইউটিলিটি থেকে লুকানো থাকে, যা শনাক্তকরণ এবং ফরেনসিক বিশ্লেষণকে উল্লেখযোগ্যভাবে আরও কঠিন করে তোলে।
হোয়াটসঅ্যাপ এবং আউটলুক ম্যালওয়্যার ছড়ানোর টুলে পরিণত হয়েছে
ব্যাংকিং ট্রোজানের পাশাপাশি, লোডারটি একটি ওয়ার্মিং কম্পোনেন্ট স্থাপন করে, যা হোয়াটসঅ্যাপ ওয়েব এবং মাইক্রোসফট আউটলুক উভয়ের মাধ্যমেই ব্যাপক হারে সংক্রমণ ছড়ানোর জন্য দায়ী। হোয়াটসঅ্যাপ মডিউলটি অথেনটিকেটেড ব্রাউজার সেশন হাইজ্যাক করে এবং ভুক্তভোগীদের কন্ট্যাক্টদের কাছে স্বয়ংক্রিয়ভাবে মেসেজ পাঠানোর জন্য ওপেন-সোর্স WPPConnect প্রজেক্ট ব্যবহার করে। টার্গেটিং দক্ষতা বাড়ানোর জন্য, ম্যালওয়্যারটি গ্রুপ চ্যাট, ব্রডকাস্ট লিস্ট এবং ব্রাজিলের বাইরের ফোন নম্বর ফিল্টার করে দেয়।
আউটলুক কম্পোনেন্টটি ভুক্তভোগীর ইনস্টল করা মাইক্রোসফট আউটলুক অ্যাপ্লিকেশনকে অপব্যবহার করে সরাসরি তার নিজের ঠিকানা থেকে ক্ষতিকারক ইমেল বিতরণের মাধ্যমে একটি ফিশিং স্প্যামবট হিসেবে কাজ করে। যেহেতু এই বার্তাগুলো বৈধ অ্যাকাউন্ট এবং বিশ্বস্ত পরিকাঠামো থেকে আসে, তাই প্রচলিত স্প্যাম ফিল্টার এবং সুনাম-ভিত্তিক নিরাপত্তা ব্যবস্থাগুলো এই ক্ষতিকারক কার্যকলাপ শনাক্ত করতে হিমশিম খায়।
প্রাপ্ত তথ্য অনুযায়ী, এই ম্যালওয়্যারটি হ্যাক হওয়া হোয়াটসঅ্যাপ সেশন এবং আউটলুক অ্যাকাউন্ট ব্যবহার করে ৩,০০০ পর্যন্ত কন্ট্যাক্টে স্প্যাম পাঠাতে পারে, যা ভুক্তভোগী ও তাদের কন্ট্যাক্টদের মধ্যে বিদ্যমান বিশ্বাসের সম্পর্ককে কাজে লাগিয়ে ক্যাম্পেইনের পরিধি ব্যাপকভাবে বাড়িয়ে দেয়।
ক্রমবর্ধমান হুমকির পরিমণ্ডলের লক্ষণ
গবেষকদের মতে, REF3076 এখনও তার কার্যক্রমের প্রাথমিক পর্যায়ে রয়েছে। ডিবাগ লগিং পাথ, অসমাপ্ত ফিশিং পরিকাঠামো এবং টেস্ট প্রসেসের নামের মতো প্রমাণ থেকে বোঝা যায় যে, এর পরিচালনাকারীরা এই ক্যাম্পেইনটিকে আরও উন্নত ও প্রসারিত করে চলেছে।
টিসিএলব্যাঙ্কার ব্রাজিলের ব্যাংকিং ম্যালওয়্যার ইকোসিস্টেমে ঘটে চলা দ্রুত বিবর্তনের উপরও আলোকপাত করেছে। যে কৌশলগুলো একসময় কেবল অত্যন্ত পরিশীলিত হুমকি সৃষ্টিকারীদের সাথে যুক্ত ছিল, সেগুলো এখন সাধারণ সাইবার অপরাধমূলক কর্মকাণ্ডেও দেখা যাচ্ছে। এই সক্ষমতাগুলোর মধ্যে রয়েছে:
- পরিবেশ-ভিত্তিক পেলোড ডিক্রিপশন
- সরাসরি সিস্টেম কল তৈরি
- রিয়েল-টাইম ওয়েবসকেট-চালিত সামাজিক প্রকৌশল
- ছিনতাই করা যোগাযোগ প্ল্যাটফর্মের মাধ্যমে বিশ্বস্ত বার্তা প্রচার
বৈধ হোয়াটসঅ্যাপ এবং আউটলুক সেশনগুলোর অপব্যবহারের মাধ্যমে, টিসিএলব্যাঙ্কার কার্যকরভাবে অনেক প্রচলিত নিরাপত্তা ব্যবস্থাকে পাশ কাটিয়ে যায়। এই ক্যাম্পেইনটি দেখায় যে, কীভাবে আধুনিক ব্যাংকিং ট্রোজানগুলো অত্যন্ত স্থিতিস্থাপক এবং সম্প্রসারণযোগ্য সাইবার অপরাধমূলক কার্যক্রম তৈরি করার জন্য ক্রমবর্ধমানভাবে উন্নত গোপনীয়তা, স্বয়ংক্রিয়তা এবং সোশ্যাল ইঞ্জিনিয়ারিং কৌশলগুলোকে একত্রিত করছে।
