ভেনন ব্যাংকিং ম্যালওয়্যার

সাইবার নিরাপত্তা গবেষকরা ব্রাজিলের ব্যবহারকারীদের লক্ষ্য করে একটি নতুন ব্যাংকিং ম্যালওয়্যার প্রচারণা আবিষ্কার করেছেন। VENON নামের এই ম্যালওয়্যারটি আঞ্চলিক সাইবার অপরাধ বাস্তুতন্ত্রের ক্ষেত্রে একটি উল্লেখযোগ্য পরিবর্তনের চিহ্ন, কারণ এটি ঐতিহ্যগতভাবে ব্যবহৃত ডেলফির পরিবর্তে রাস্ট প্রোগ্রামিং ভাষায় লেখা।

উন্নয়ন পদ্ধতির এই পরিবর্তন ল্যাটিন আমেরিকান ব্যাংকিং ম্যালওয়্যারের ক্ষেত্রে একটি উল্লেখযোগ্য বিবর্তনের প্রতিনিধিত্ব করে, যা ঐতিহাসিকভাবে ডেলফি-ভিত্তিক কাঠামোর উপর নির্ভর করে। VENON বিশেষভাবে উইন্ডোজ পরিবেশকে লক্ষ্য করে এবং প্রাথমিকভাবে ২০২৬ সালের ফেব্রুয়ারিতে আবিষ্কৃত হয়েছিল।

প্রতিষ্ঠিত ব্যাংকিং ট্রোজানদের সাথে আচরণগত সমান্তরালতা

আধুনিক বাস্তবায়ন ভাষা সত্ত্বেও, VENON গ্র্যান্ডোরেইরো, মেকোটিও এবং কোয়োটের মতো সুপরিচিত ল্যাটিন আমেরিকান ব্যাংকিং ট্রোজানের সাথে সামঞ্জস্যপূর্ণ কর্মক্ষম আচরণ প্রদর্শন করে।

এই ম্যালওয়্যারটি সাধারণত এই হুমকিগুলির সাথে সম্পর্কিত বেশ কয়েকটি ক্ষমতাকে একীভূত করে:

• বৈধ আর্থিক ইন্টারফেসের ছদ্মবেশ ধারণ করার জন্য ডিজাইন করা ব্যাংকিং ওভারলে লজিক
• লক্ষ্যবস্তুযুক্ত ব্যাংকিং অ্যাপ্লিকেশন বা ওয়েবসাইট সনাক্ত করতে সক্রিয় উইন্ডো পর্যবেক্ষণ
• শর্টকাট (LNK) হাইজ্যাকিং প্রক্রিয়া যা ক্ষতিগ্রস্থদের ক্ষতিকারক অবকাঠামোর দিকে পুনঃনির্দেশিত করে

এই মিলগুলি ইঙ্গিত দেয় যে VENON-কে এই অঞ্চলে বিদ্যমান ব্যাংকিং ম্যালওয়্যার প্রচারণাগুলির দ্বারা ব্যবহৃত অপারেশনাল প্যাটার্নগুলির বিস্তারিত জ্ঞান দিয়ে তৈরি করা হয়েছিল।

উন্নয়ন সূত্র এবং জেনারেটিভ এআই-এর সম্ভাব্য ব্যবহার

এই প্রচারণাটি এখনও আনুষ্ঠানিকভাবে কোনও পরিচিত হুমকি অভিনেতা বা সাইবার অপরাধী গোষ্ঠীর সাথে সম্পর্কিত বলে জানা যায়নি। তবে, জানুয়ারী ২০২৬-এর আগের একটি বিল্ডের ফরেনসিক বিশ্লেষণে বাইনারিতে এমবেড করা ডেভেলপারের পরিবেশের চিহ্ন পাওয়া গেছে। ফাইল পাথগুলি বারবার 'byst4' লেবেলযুক্ত একটি উইন্ডোজ ব্যবহারকারী প্রোফাইল উল্লেখ করে, যেমন C:\Users\byst4..., যা হুমকি অভিনেতার ডেভেলপমেন্ট সেটআপ সম্পর্কে সম্ভাব্য অন্তর্দৃষ্টি নির্দেশ করে।

কোড বিশ্লেষণ আরও ইঙ্গিত দেয় যে ল্যাটিন আমেরিকান ব্যাংকিং ম্যালওয়্যার কৌশলগুলির সাথে ইতিমধ্যেই পরিচিত ডেভেলপারদের সাথে সামঞ্জস্যপূর্ণ একটি কাঠামো রয়েছে। একই সময়ে, কোডবেস রাস্টে পূর্বে প্রতিষ্ঠিত ক্ষমতাগুলিকে রিফ্যাক্টর বা সম্প্রসারণের জন্য জেনারেটিভ এআই সরঞ্জামগুলির সম্ভাব্য ব্যবহারের পরামর্শ দেয়। রাস্টে এই ধরনের কার্যকারিতা বাস্তবায়নের জন্য যথেষ্ট প্রযুক্তিগত দক্ষতা প্রয়োজন, যা প্রকল্পের পিছনের পরিশীলিততা তুলে ধরে।

বহু-পর্যায়ের সংক্রমণ শৃঙ্খল এবং ফাঁকি দেওয়ার কৌশল

VENON একটি সাবধানে সুগঠিত সংক্রমণ শৃঙ্খলের মাধ্যমে সরবরাহ করা হয় যা শেষ পর্যন্ত DLL সাইড-লোডিংয়ের মাধ্যমে একটি ক্ষতিকারক গতিশীল লিঙ্ক লাইব্রেরি কার্যকর করে। বিশ্বাস করা হয় যে প্রচারণাটি ক্লিকফিক্স কৌশলের মতো সামাজিক-প্রকৌশল কৌশলের উপর নির্ভর করে যা পেলোড ধারণকারী একটি জিপ আর্কাইভ ডাউনলোড করতে ভুক্তভোগীদের রাজি করায়।

কার্যকরকরণ একটি PowerShell স্ক্রিপ্ট দিয়ে শুরু হয় যা ক্ষতিকারক উপাদানগুলি পুনরুদ্ধার করে এবং চালু করে। যেকোনো ক্ষতিকারক কার্যকলাপ শুরু করার আগে, DLL প্রতিরক্ষামূলক ফাঁকি দেওয়ার ব্যবস্থাগুলির একটি বিস্তৃত সেট সম্পাদন করে:

• অ্যান্টি-স্যান্ডবক্স চেক
• নিরাপত্তা পর্যবেক্ষণকে এড়িয়ে যাওয়ার জন্য পরোক্ষ সিস্টেম কল
• ETW (উইন্ডোজের জন্য ইভেন্ট ট্রেসিং) বাইপাস কৌশল
• AMSI (অ্যান্টিম্যালওয়্যার স্ক্যান ইন্টারফেস) বাইপাস প্রক্রিয়া
• অতিরিক্ত অ্যান্টি-অ্যানালাইসিস রুটিন যা মোট নয়টি এড়িয়ে যাওয়ার কৌশল তৈরি করে

এই পরীক্ষাগুলি পাস করার পর, ম্যালওয়্যারটি গুগল ক্লাউড অবকাঠামোতে সংরক্ষিত একটি ক্লাউড-হোস্টেড রিসোর্স থেকে কনফিগারেশন ডেটা পুনরুদ্ধার করে। তারপরে এটি স্থিরতার জন্য একটি নির্ধারিত টাস্ক ইনস্টল করে এবং তার কমান্ড-এন্ড-কন্ট্রোল সার্ভারের সাথে একটি ওয়েবসকেট সংযোগ স্থাপন করে।

ইটাউ ব্যাংকিং সফটওয়্যারের বিরুদ্ধে লক্ষ্যবস্তু শর্টকাট হাইজ্যাকিং

ক্ষতিকারক DLL-এ ভিজ্যুয়াল বেসিক স্ক্রিপ্টে লেখা দুটি এমবেডেড স্ক্রিপ্টও রয়েছে। এই স্ক্রিপ্টগুলি বিশেষভাবে Itau Unibanco-এর ডেস্কটপ অ্যাপ্লিকেশনের লক্ষ্যে একটি লক্ষ্যবস্তু শর্টকাট হাইজ্যাকিং অপারেশন বাস্তবায়ন করে।

এই প্রক্রিয়াটি বৈধ সিস্টেম শর্টকাটগুলিকে ম্যানিপুলেটেড সংস্করণ দিয়ে প্রতিস্থাপন করে যা ভুক্তভোগীদের আক্রমণকারী-নিয়ন্ত্রিত ওয়েব পৃষ্ঠাগুলিতে পুনঃনির্দেশিত করে যা সংবেদনশীল আর্থিক প্রমাণপত্রাদি ক্যাপচার করার জন্য ডিজাইন করা হয়েছে। এই লক্ষ্যবস্তু পদ্ধতিটি ব্রাজিলের মধ্যে উচ্চ-মূল্যবান ব্যাংকিং প্ল্যাটফর্মের উপর দৃঢ় মনোযোগ নির্দেশ করে।

মজার ব্যাপার হল, ম্যালওয়্যারটিতে একটি আনইনস্টল ক্ষমতা রয়েছে যা মূল শর্টকাটগুলি পুনরুদ্ধার করতে পারে। এই কার্যকারিতাটি রিমোট অপারেটর নিয়ন্ত্রণকে বোঝায় এবং আক্রমণকারীদের কোনও অপারেশন সম্পন্ন হওয়ার পরে আপস করার প্রমাণ মুছে ফেলতে সক্ষম করে।

বিস্তৃত আর্থিক লক্ষ্যবস্তু এবং শংসাপত্র চুরির কৌশল

VENON সক্রিয় উইন্ডো শিরোনাম এবং ব্রাউজার ডোমেন উভয়ই পর্যবেক্ষণ করার জন্য তৈরি করা হয়েছে, যা ব্যবহারকারীরা কখন আর্থিক পরিষেবা অ্যাক্সেস করে তা সনাক্ত করতে সক্ষম করে। ম্যালওয়্যারটি 33টি আর্থিক প্রতিষ্ঠান এবং ডিজিটাল সম্পদ প্ল্যাটফর্মের সাথে জড়িত কার্যকলাপ সনাক্ত করার জন্য কনফিগার করা হয়েছে।

একবার লক্ষ্যবস্তু অ্যাপ্লিকেশন বা ওয়েবসাইট সনাক্ত হয়ে গেলে, ম্যালওয়্যারটি জাল ওভারলে স্ক্রিন স্থাপন করে যা বৈধ লগইন ইন্টারফেসের অনুকরণ করে। এই ওভারলেগুলির সাথে যোগাযোগকারী ভুক্তভোগীরা অজান্তেই আক্রমণকারীদের কাছে সরাসরি তাদের শংসাপত্র জমা দেয়, যার ফলে অ্যাকাউন্ট দখল এবং আর্থিক চুরি সম্ভব হয়।