Vampire Bot Malware

ব্যাটশ্যাডো নামে পরিচিত একজন ভিয়েতনামী-ভাষী হুমকি অভিনেতা একটি লক্ষ্যবস্তু প্রচারণা চালাচ্ছেন যা চাকরিপ্রার্থী এবং ডিজিটাল-বিপণন পেশাদারদের পূর্বে নথিভুক্ত না থাকা Go-ভিত্তিক ম্যালওয়্যার ইনস্টল করার জন্য প্রলুব্ধ করে, যা গবেষকরা ভ্যাম্পায়ার বট নামে অভিহিত করেন। এই গোষ্ঠীটি নিয়োগকারীদের ছদ্মবেশ ধারণ করে এবং আপাতদৃষ্টিতে বৈধ চাকরির বিবরণ এবং কর্পোরেট পিডিএফ বিতরণ করে, যার সাথে যোগাযোগ করা হলে, একটি বহু-পর্যায়ের সংক্রমণ শৃঙ্খল তৈরি করে এবং দূরবর্তী নজরদারি এবং ডেটা চুরির ক্ষমতা প্রদান করে।

সোশ্যাল ইঞ্জিনিয়ারিং এবং লোর ডেলিভারি

আক্রমণকারীরা নিয়োগ-শৈলীর বার্তা এবং জিপ সংযুক্তি তৈরি করে যার মধ্যে পিডিএফ ফাইলের সাথে ক্ষতিকারক শর্টকাট (LNK) বা পিডিএফের ছদ্মবেশে এক্সিকিউটেবল থাকে। ডকুমেন্ট লোরগুলি বিশেষভাবে মার্কেটিং ভূমিকার (একটি লোর যা ম্যারিয়ট মার্কেটিং চাকরির উল্লেখ করে) লক্ষ্য করে তৈরি করা হয় যাতে অভিযুক্তদের কাছে বিশ্বাসযোগ্যতা বৃদ্ধি পায়। লোরগুলি 'পূর্বরূপ' দেখতে বা কাজের বিবরণ ডাউনলোড করতে উৎসাহিত করা হয়, যা বহু-পর্যায়ের শোষণ ক্রম শুরু করে।

সংক্রমণ শৃঙ্খল অগ্রগতি

ZIP প্যাকেজগুলিতে একটি ক্ষতিকারক LNK থাকে যা একটি এমবেডেড PowerShell স্ক্রিপ্ট চালায়। এই স্ক্রিপ্টটি একটি বহিরাগত সার্ভারের সাথে যোগাযোগ করে একটি লোর PDF এবং একটি পৃথক ZIP বান্ডেল আনে যাতে XtraViewer (রিমোট-ডেস্কটপ সফ্টওয়্যার) সম্পর্কিত ফাইল থাকে। XtraViewer উপাদানগুলি কার্যকর করা হয় — সম্ভবত স্থায়িত্ব বা দূরবর্তী অ্যাক্সেস স্থাপন করে — এবং Go এক্সিকিউটেবল স্থাপন না হওয়া পর্যন্ত চেইনটি চলতে থাকে।

এজ রিডাইরেক্টের অপব্যবহার

এই প্রচারণার একটি মূল কৌশল হল একটি ল্যান্ডিং পৃষ্ঠা যা একটি ভুয়া 'অসমর্থিত ব্রাউজার' ত্রুটি দেখায় এবং ভুক্তভোগীদের URL কপি করে Microsoft Edge-এ খুলতে নির্দেশ দেয়। স্ক্রিপ্টেড রিডাইরেক্টগুলি প্রায়শই আধুনিক ব্রাউজারগুলি দ্বারা ব্লক করা হয়, তাই আক্রমণকারীরা ব্যবহারকারীকে ম্যানুয়াল ক্রিয়া (এজে অনুলিপি/পেস্ট) সম্পাদন করতে রাজি করানোর উপর নির্ভর করে, যা পরে ব্যবহারকারীর দ্বারা শুরু করা হিসাবে বিবেচিত হয় এবং ডাউনলোড প্রবাহকে চালিয়ে যেতে দেয়। Edge-এ খোলার পরে পৃষ্ঠাটি আরেকটি ভুয়া ত্রুটি দেখায় যেখানে দাবি করা হয় যে PDF সংকুচিত হয়েছে এবং 'আপনার ডিভাইসে পাঠানো হয়েছে', যা একটি স্বয়ংক্রিয় ZIP ডাউনলোড ট্রিগার করে।

পেলোড এবং ডিকয় নামকরণের কৌশল

স্বয়ংক্রিয়ভাবে ডাউনলোড করা জিপটিতে কাজের বিবরণ এবং একটি ক্ষতিকারক এক্সিকিউটেবল ফাইল রয়েছে যা PDF এর মতো দেখাবে (উদাহরণস্বরূপ, 'Marriott_Marketing_Job_Description.pdf.exe')। এক্সিকিউটেবল ফাইলের নাম প্যাডিং ('.pdf' এবং '.exe' এর মধ্যে অতিরিক্ত ফাঁকা স্থান) ব্যবহার করে, তাই কিছু ভিউতে এটি PDF এর মতো দেখায়, যা ভুক্তভোগীদের এটি চালানোর সম্ভাবনা বাড়িয়ে দেয়।

ভ্যাম্পায়ার বটের ক্ষমতা

বাদ দেওয়া এক্সিকিউটেবলটি হল ভ্যাম্পায়ার বট নামে পরিচিত একটি গোল্যাং বাইনারি। এর পর্যবেক্ষণযোগ্য ক্ষমতাগুলির মধ্যে রয়েছে:

• সংক্রামিত হোস্টের তালিকা তৈরি এবং প্রোফাইলিং,

• বিস্তৃত তথ্য চুরি করা (প্রমাণপত্রের দোকান, ফাইল, ইত্যাদি),

• একটি কনফিগারযোগ্য সময়সূচীতে স্ক্রিনশট নেওয়া,
  এবং

• কমান্ড গ্রহণ বা অতিরিক্ত পেলোড ডাউনলোড করার জন্য আক্রমণকারী সার্ভারের (api3.samsungcareers.work হিসাবে রিপোর্ট করা হয়েছে) সাথে কমান্ড-ও-নিয়ন্ত্রণ যোগাযোগ বজায় রাখা।

অ্যাট্রিবিউশন এবং অবকাঠামো

বিশ্লেষকরা এই কার্যকলাপকে ভিয়েতনামের সাথে অবকাঠামো পুনঃব্যবহারের উপর ভিত্তি করে যুক্ত করেছেন - উদাহরণস্বরূপ, ভিয়েতনাম-সংযুক্ত অপারেটরদের সাথে পূর্বে যুক্ত একটি IP ঠিকানা (103.124.95.161) - এবং টার্গেটিং প্যাটার্নের উপর ভিত্তি করে। BatShadow এর আগে ডিজিটাল-বিপণন পেশাদারদের লক্ষ্যবস্তু করেছে এবং অন্যান্য আর্থিকভাবে অনুপ্রাণিত ভিয়েতনামী গোষ্ঠীগুলির সাথে ওভারল্যাপ করে যারা ফেসবুক ব্যবসার সম্পদ হাইজ্যাক করার জন্য চুরিকারীদের মোতায়েন করার জন্য পরিচিত। এই গোষ্ঠীটি কমপক্ষে এক বছর ধরে সক্রিয় বলে মনে হচ্ছে এবং পূর্বে এজেন্ট টেসলা, লুম্মা স্টিলার, ভেনম RAT সহ ম্যালওয়্যার পরিবারগুলি বিতরণ করার জন্য samsung-work.com এর মতো ডোমেন ব্যবহার করেছে এবং, অক্টোবর 2024 সালে, একইভাবে বুবি-ট্র্যাপ করা কাজের বিবরণ ফাইলের মাধ্যমে Quasar RAT বিতরণের প্রচারণা চালায়।

আক্রমণটি কার্যকর কেন?

BatShadow শিল্প-প্রাসঙ্গিক লোভ (বিপণন কাজের বিজ্ঞাপন), ফাইলের নাম কৌশল, মঞ্চস্থ পেলোড (সাধারণ ফাইল স্ক্যানিং এড়াতে) এবং একটি প্রবাহকে একত্রিত করে যা স্ক্রিপ্টেড রিডাইরেক্ট সুরক্ষা বাইপাস করার জন্য ম্যানুয়াল ব্রাউজার অ্যাকশনকে বাধ্য করে। সোশ্যাল ইঞ্জিনিয়ারিং এবং বহু-পর্যায়ের প্রযুক্তিগত পদক্ষেপের এই মিশ্রণ সফল আপস এবং দীর্ঘমেয়াদী অ্যাক্সেসের সম্ভাবনা বৃদ্ধি করে।

উপসংহার

ব্যাটশ্যাডোর প্রচারণাটি তুলে ধরে যে লক্ষ্যবস্তুযুক্ত সামাজিক প্রকৌশল কতটা কার্যকর যখন একটি পর্যায়ক্রমে, ফাঁকিবাজি প্রযুক্তিগত শৃঙ্খলের সাথে যুক্ত হয়। যেসব প্রতিষ্ঠান ঘন ঘন নিয়োগ করে বা আবেদনকারীর ট্র্যাফিক পরিচালনা করে - এবং ডিজিটাল মার্কেটিংয়ে যারা অনলাইন সম্পদ পরিচালনা করে - তাদের মেল/সংযুক্তি পরিচালনা কঠোর করা উচিত, কঠোর কার্যকর নিয়ন্ত্রণ প্রয়োগ করা উচিত এবং নিয়োগ-শৈলীর সংযুক্তিগুলিকে বৈধ না হওয়া পর্যন্ত উচ্চ-ঝুঁকিপূর্ণ হিসাবে বিবেচনা করা উচিত।