ওয়াটার সাকি ব্যাংকিং ট্রোজান

সাইবার অপরাধমূলক কার্যক্রম ক্রমাগত বিকশিত হচ্ছে, এবং ব্রাজিলিয়ান হুমকি অভিনেতা ওয়াটার স্যাকি পরিশীলিততার ক্ষেত্রে অসাধারণ অগ্রগতি প্রদর্শন করেছেন। সাম্প্রতিক প্রচারণাগুলি HTA ফাইল, PDF এবং WhatsApp ব্যবহার করে বহু-স্তরযুক্ত সংক্রমণ চেইনগুলিকে ব্যবহার করে একটি ব্যাংকিং ট্রোজান প্রচার করে, অভূতপূর্ব দক্ষতার সাথে ব্রাজিলিয়ান ব্যবহারকারীদের লক্ষ্য করে।

মাল্টি-ফরম্যাট অ্যাটাক চেইন: পাওয়ারশেল থেকে পাইথন পর্যন্ত

সর্বশেষ এই তরঙ্গটি ওয়াটার স্যাকির কৌশলে একটি উল্লেখযোগ্য পরিবর্তনের ইঙ্গিত দেয়। পূর্বে পাওয়ারশেলের উপর নির্ভরশীল এই হুমকিদাতা এখন পাইথন-ভিত্তিক একটি রূপ ব্যবহার করে যা হোয়াটসঅ্যাপ ওয়েবের মাধ্যমে ওয়ার্মের মতো ম্যালওয়্যার ছড়িয়ে দেয়।

এই বর্ধিত আক্রমণ শৃঙ্খলের মূল উপাদানগুলির মধ্যে রয়েছে:

পিডিএফ লুরস : ভুক্তভোগীরা একটি ক্ষতিকারক লিঙ্কে ক্লিক করে অ্যাডোবি রিডার আপডেট করার নির্দেশ দেওয়া পিডিএফ ফাইল পান।

HTA ফাইল : যখন এটি কার্যকর করা হয়, তখন এই ফাইলগুলি ভিজ্যুয়াল বেসিক স্ক্রিপ্টগুলি চালায় যা পেলোডগুলি আনতে PowerShell কমান্ড চালু করে, যার মধ্যে ট্রোজানের জন্য একটি MSI ইনস্টলার এবং WhatsApp প্রচারের জন্য দায়ী পাইথন স্ক্রিপ্ট অন্তর্ভুক্ত থাকে।

এই মাল্টি-ফরম্যাট পদ্ধতিটি দেখায় যে ওয়াটার স্যাকি কীভাবে তার আক্রমণ প্রক্রিয়াগুলিকে স্তরে স্তরে স্তরে বিভক্ত করেছে, সম্ভবত পাওয়ারশেল থেকে পাইথনে স্ক্রিপ্ট অনুবাদ করার জন্য এআই বা স্বয়ংক্রিয় সরঞ্জাম ব্যবহার করেছে। এটি ম্যালওয়্যার সরবরাহের সামঞ্জস্যতা, গতি, স্থিতিস্থাপকতা এবং রক্ষণাবেক্ষণযোগ্যতা বৃদ্ধি করে।

MSI ইনস্টলার এবং অটোআইটি-ভিত্তিক ট্রোজান লোডার

MSI ইনস্টলারটি ব্যাংকিং ট্রোজানের ডেলিভারি মেকানিজম হিসেবে কাজ করে। এর AutoIt স্ক্রিপ্টটি বেশ কয়েকটি গুরুত্বপূর্ণ কাজ সম্পাদন করে:

• একটি মার্কার ফাইল (executed.dat) পরীক্ষা করে এবং আক্রমণকারী-নিয়ন্ত্রিত সার্ভারকে অবহিত করে নিশ্চিত করে যে ট্রোজানের শুধুমাত্র একটি উদাহরণ চলছে।
• ব্র্যাডেসকো, ওয়ারশ, টোপাজ ওএফডি, সিকুব এবং ইটাউ সহ ব্যাংকিং-সম্পর্কিত ফাইল এবং অ্যাপ্লিকেশনগুলির জন্য স্ক্যান করার আগে সিস্টেম ভাষা সেটিংস (পর্তুগিজ-ব্রাজিল) যাচাই করে।
• ব্রাজিলের প্রধান ব্যাঙ্কগুলিতে যাওয়ার জন্য Google Chrome ইতিহাস অনুসন্ধান করে: Santander, Banco do Brasil, Caixa Econômica Federal, Sicredi, এবং Bradesco.

লোডারটি TDA/DMP ফাইলের মাধ্যমে প্রসেস হোলোয়িং এবং ইন্টারমিডিয়েট PE লোডিং ব্যবহার করে ট্রোজানকে মেমোরিতে ইনজেক্ট করে, যা স্টিলথ এবং স্থায়িত্ব অর্জন করে। যদি ট্রোজান প্রক্রিয়াটি বন্ধ করে দেওয়া হয়, তাহলে ভুক্তভোগী যখন কোনও ব্যাংকিং সাইট অ্যাক্সেস করে তখন এটি স্বয়ংক্রিয়ভাবে পুনরায় ইনজেক্ট করে।

ট্রোজান কার্যকারিতা: আক্রমণাত্মক গোয়েন্দাগিরি এবং প্রমাণপত্র চুরি

ওয়াটার স্যাকির ট্রোজান পর্যবেক্ষণ, নিয়ন্ত্রণ এবং তথ্য চুরির জন্য উন্নত ক্ষমতা প্রদর্শন করে, যার মধ্যে রয়েছে:

• ব্যাংকিং বা ক্রিপ্টোকারেন্সি প্ল্যাটফর্ম সনাক্ত করার জন্য উইন্ডো টাইটেল মনিটরিং।
• আক্রমণকারীর নিয়ন্ত্রণে থাকা সাইটগুলি পুনরায় খোলার জন্য জোরপূর্বক ব্রাউজার বন্ধ করা হয়েছে।
• WMI কোয়েরির মাধ্যমে হোস্ট এবং সিস্টেম রিকনেসান্স।
• স্থায়িত্বের জন্য রেজিস্ট্রি পরিবর্তন।
• রিমোট কন্ট্রোলের জন্য C2 যোগাযোগ।
• সমর্থিত ক্রিয়াকলাপগুলির মধ্যে রয়েছে:
• সিস্টেমের তথ্য পাঠানো হচ্ছে
• কীবোর্ড এবং স্ক্রিন ক্যাপচার
• মাউসের কার্যকলাপ অনুকরণ করা
• ফাইল অপারেশন (আপলোড/ডাউনলোড)
• উইন্ডো গণনা
• জাল ব্যাংকিং ওভারলে তৈরি করা

এই কার্যকারিতাটি ক্যাসবেনেইরোর মতো LATAM-কেন্দ্রিক ব্যাংকিং ট্রোজানের প্রতিফলন ঘটায়, যা আরও উন্নত ডেলিভারি প্রক্রিয়া ব্যবহার করে কাঠামোগত এবং আচরণগত ধারাবাহিকতা প্রতিফলিত করে।

পাইথন-ভিত্তিক হোয়াটসঅ্যাপ প্রচার

এই প্রচারণার একটি উল্লেখযোগ্য উদ্ভাবন হল পাইথন স্ক্রিপ্ট যা সেলেনিয়াম ব্রাউজার অটোমেশন টুল ব্যবহার করে হোয়াটসঅ্যাপ ওয়েবের মাধ্যমে ম্যালওয়্যার প্রচার করে। প্রমাণ থেকে জানা যায় যে ওয়াটার স্যাসি মূল পাওয়ারশেল প্রোপাগেশন লজিককে পাইথনে পোর্ট করার জন্য বৃহৎ ভাষা মডেল বা কোড-অনুবাদ সরঞ্জাম ব্যবহার করেছে। কনসোল আউটপুটগুলিতে ইমোজিও অন্তর্ভুক্ত রয়েছে, যা নতুন স্ক্রিপ্টের পরিশীলিততা তুলে ধরে।

হোয়াটসঅ্যাপের আস্থা এবং নাগালের সুযোগ কাজে লাগিয়ে, ওয়াটার স্যাকি ব্যাপকভাবে ম্যালওয়্যার স্ব-প্রচার করতে পারে, ঐতিহ্যবাহী প্রতিরক্ষা ব্যবস্থাকে এড়িয়ে দ্রুত ক্ষতিগ্রস্তদের ক্ষতি করতে পারে।

উপসংহার: বার্তা-ভিত্তিক সাইবার হুমকির এক নতুন যুগ

ওয়াটার স্যাকি ক্যাম্পেইন একটি ক্রমবর্ধমান প্রবণতা তুলে ধরে: সাইবার অপরাধীরা জটিল ম্যালওয়্যার স্থাপনের জন্য হোয়াটসঅ্যাপের মতো বৈধ প্ল্যাটফর্মগুলিকে অস্ত্র হিসেবে ব্যবহার করছে। সোশ্যাল ইঞ্জিনিয়ারিং, এআই-সহায়তাপ্রাপ্ত স্ক্রিপ্ট ডেভেলপমেন্ট এবং মাল্টি-স্টেজ ম্যালওয়্যার ডেলিভারি একত্রিত করে, হুমকিদাতারা প্রচলিত নিরাপত্তা নিয়ন্ত্রণ এড়িয়ে গিয়েও ক্রমাগত ব্যাংকিং ট্রোজান সংক্রমণ বজায় রাখতে পারে।

এই ঘটনাটি বিশেষ করে ব্রাজিলের মতো অঞ্চলে, যেখানে মেসেজিং প্ল্যাটফর্মগুলি দৈনন্দিন যোগাযোগে কেন্দ্রীয় ভূমিকা পালন করে, সেখানে বর্ধিত সতর্কতা, শক্তিশালী এন্ডপয়েন্ট সুরক্ষা এবং ব্যবহারকারীদের সচেতনতার প্রয়োজনীয়তার উপর জোর দেয়।