UULloader Malware

সাইবার অপরাধীরা পরবর্তী ক্ষতিকারক পেলোডগুলি সরবরাহ করতে UULoader নামে পরিচিত ম্যালওয়্যারের একটি নতুন স্ট্রেন ব্যবহার করছে৷ এই ম্যালওয়্যার শনাক্তকারী গবেষকদের মতে, এটি মূলত কোরিয়ান এবং চীনা স্পিকারদের লক্ষ্য করে বৈধ অ্যাপ্লিকেশন হিসাবে জাহির করে দুর্নীতিগ্রস্ত ইনস্টলারদের মাধ্যমে ছড়িয়ে পড়ে। সূচকগুলি পরামর্শ দেয় যে UULoader হয়ত একজন চীনা স্পিকার দ্বারা তৈরি করা হয়েছে, যেহেতু চাইনিজ স্ট্রিংগুলি DLL ফাইলের মধ্যে এমবেড করা প্রোগ্রাম ডাটাবেস (PDB) ফাইলগুলিতে পাওয়া গেছে। Gh0st RAT এবং Mimikatz- এর মতো আপস-পরবর্তী হুমকি মোতায়েন করার জন্য এই ম্যালওয়্যারটি ব্যবহার করা হচ্ছে।

UULoader-এর মূল উপাদানগুলি একটি Microsoft Cabinet (.cab) আর্কাইভের মধ্যে প্যাকেজ করা হয়, যেখানে দুটি প্রধান এক্সিকিউটেবল (একটি .exe এবং একটি .dll) রয়েছে যেগুলির ফাইল শিরোনামগুলি সরানো হয়েছে৷

হুমকি অভিনেতারা অতিরিক্ত ম্যালওয়্যার সরবরাহ করতে UULoader ব্যবহার করে

এক্সিকিউটেবলগুলির মধ্যে একটি হল একটি বৈধ বাইনারি যা DLL সাইড-লোডিংয়ের জন্য ঝুঁকিপূর্ণ, যা একটি DLL ফাইল লোড করার জন্য ব্যবহার করা হয়। এই DLL শেষ পর্যন্ত চূড়ান্ত পর্যায়ে ট্রিগার করে: 'XamlHost.sys' নামে একটি অস্পষ্ট ফাইল যাতে রিমোট অ্যাক্সেস টুল যেমন Gh0st RAT বা Mimikatz ক্রেডেনশিয়াল হারভেস্টার রয়েছে।

MSI ইনস্টলার ফাইলটিতে একটি ভিজ্যুয়াল বেসিক স্ক্রিপ্ট (.vbs)ও রয়েছে যা এক্সিকিউটেবল চালু করে—যেমন Realtek—এবং কিছু UULoader নমুনায়, একটি ডিকয় ফাইল মনোযোগ সরানোর জন্য চালানো হয়। এই ডিকয় সাধারণত .msi ফাইল যা দাবি করে তার সাথে সারিবদ্ধ হয়। উদাহরণস্বরূপ, যদি ইনস্টলার একটি 'Chrome আপডেট' হিসাবে মাশকারা করে, তাহলে decoy হবে একটি প্রকৃত Chrome আপডেট।

Gh0st RAT স্থাপনের জন্য নকল Google Chrome ইনস্টলারদের ব্যবহার করা এই প্রথম নয়৷ গত মাসে, eSentire রিমোট অ্যাক্সেস ট্রোজান বিতরণ করার জন্য একটি নকল Google Chrome সাইট ব্যবহার করে চীনা উইন্ডোজ ব্যবহারকারীদের লক্ষ্য করে একটি আক্রমণ চেইন রিপোর্ট করেছে।

প্রতারক এবং সাইবার অপরাধীরা ক্রিপ্টো-থিমযুক্ত লুরসের ব্যবহার বাড়ায়

কয়েনবেস, এক্সোডাস এবং মেটামাস্কের মতো জনপ্রিয় ক্রিপ্টো-ওয়ালেট পরিষেবাগুলির ব্যবহারকারীদের লক্ষ্য করে হুমকির অভিনেতাদেরকে সম্প্রতি হাজার হাজার ক্রিপ্টোকারেন্সি-থিমযুক্ত ফিশিং সাইট তৈরি করতে দেখা গেছে।

ক্রিপ্টো ওয়ালেট টাইপোসকোয়াটার সাবডোমেনে প্রলুব্ধ সাইটগুলি সেট আপ করতে গিটবুক এবং ওয়েবফ্লো-এর মতো বিনামূল্যের হোস্টিং প্ল্যাটফর্মগুলিকে ব্যবহার করছে এই অসভ্য অভিনেতারা৷ এই প্রতারণামূলক সাইটগুলি ক্রিপ্টো-ওয়ালেট এবং ডাউনলোড লিঙ্ক সম্পর্কে তথ্য দিয়ে শিকারকে আকৃষ্ট করে যা প্রতারণামূলক ইউআরএলের দিকে পরিচালিত করে।

এই URLগুলি একটি ট্রাফিক ডিস্ট্রিবিউশন সিস্টেম (TDS) হিসাবে কাজ করে, ব্যবহারকারীদের হয় ফিশিং সামগ্রীতে পুনঃনির্দেশিত করে বা, যদি টুলটি ভিজিটরকে নিরাপত্তা গবেষক হিসাবে চিহ্নিত করে, তাহলে ক্ষতিহীন পৃষ্ঠাগুলিতে৷

উপরন্তু, ফিশিং প্রচারাভিযানগুলি ভারত এবং মার্কিন যুক্তরাষ্ট্রে বৈধ সরকারী সংস্থা হিসাবেও জাহির করছে, ব্যবহারকারীদের সংবেদনশীল তথ্য সংগ্রহের জন্য ডিজাইন করা জাল ডোমেনে পুনঃনির্দেশিত করছে। এই চুরি হওয়া ডেটা ভবিষ্যতে স্ক্যাম, ফিশিং ইমেল, ভুল তথ্য ছড়ানো বা ম্যালওয়্যার বিতরণের জন্য ব্যবহার করা যেতে পারে।

AI Buzz এছাড়াও বিভ্রান্তিকর প্রচারাভিযানে শোষিত

সামাজিক প্রকৌশল কৌশলগুলি বিভ্রান্তিকর ডোমেন তৈরি করতে জেনারেটিভ কৃত্রিম বুদ্ধিমত্তার (AI) বৃদ্ধিকে পুঁজি করেছে যা OpenAI ChatGPT অনুকরণ করে, বিভিন্ন অনিরাপদ কার্যকলাপ যেমন ফিশিং, গ্রেওয়্যার, র্যানসমওয়্যার এবং কমান্ড-এন্ড-কন্ট্রোল (C2) অপারেশনগুলিকে সহজতর করে৷

এই ডোমেইনগুলির একটি উল্লেখযোগ্য সংখ্যক 'GPT' বা 'ChatGPT'-এর মতো কীওয়ার্ড যুক্ত করে জেনারেটিভ এআই-এর জনপ্রিয়তাকে কাজে লাগায়। উল্লেখযোগ্যভাবে, এই নতুন নিবন্ধিত ডোমেনে ট্রাফিকের এক তৃতীয়াংশেরও বেশি সন্দেহজনক সাইটের দিকে পরিচালিত হয়েছে।