হোয়াটসঅ্যাপ ম্যালওয়্যার ক্যাম্পেইন

সাইবার অপরাধীরা হোয়াটসঅ্যাপ ডিরেক্ট মেসেজ ব্যবহার করে ক্ষতিকারক ভিজ্যুয়াল বেসিক স্ক্রিপ্ট (VBScript) ফাইল ছড়াচ্ছে, যা শেষ পর্যন্ত আক্রান্ত সিস্টেমে বৈধ রিমোট মনিটরিং অ্যান্ড ম্যানেজমেন্ট (RMM) সফটওয়্যার ইনস্টল করে দেয়। এই অভিযানটি মালয়েশিয়া, ব্রাজিল, ভারত, মেক্সিকো, সিঙ্গাপুর, যুক্তরাজ্য, স্পেন, তাইওয়ান, অস্ট্রেলিয়া, রাশিয়া এবং ভিয়েতনামসহ একাধিক দেশের হোয়াটসঅ্যাপ ডেস্কটপ এবং হোয়াটসঅ্যাপ ওয়েব ব্যবহারকারীদের লক্ষ্যবস্তু করেছে। মালয়েশিয়ায় সবচেয়ে বেশি সংখ্যক ব্যবহারকারী ক্ষতিগ্রস্ত হয়েছেন।

গবেষকদের ধারণা, হামলাকারীরা বেশ কয়েকটি হোয়াটসঅ্যাপ অ্যাকাউন্টে অননুমোদিত প্রবেশাধিকার লাভ করে এবং এরপর এই হ্যাক হওয়া প্রোফাইলগুলো ব্যবহার করে তাদের কন্টাক্ট লিস্টে থাকা ব্যক্তিদের কাছে ক্ষতিকারক ফাইল পাঠায়। তবে, এই অ্যাকাউন্টগুলো হাইজ্যাক করার জন্য ব্যবহৃত সুনির্দিষ্ট পদ্ধতিটি এখনও অজানা।

ব্যবসায়িক নথিপত্রের ছদ্মবেশে

আক্রমণকারীরা ভুক্তভোগীদের ক্ষতিকারক ফাইলগুলো খুলতে প্ররোচিত করার জন্য সোশ্যাল ইঞ্জিনিয়ারিংয়ের সাহায্য নেয়। VBScript অ্যাটাচমেন্টগুলোকে বৈধ ব্যবসায়িক ও আর্থিক নথি হিসেবে ছদ্মবেশে রাখা হয় এবং 'Financial Reports.vbs' ও 'Account Statement.vbs'-এর মতো বিশ্বাসযোগ্য ফাইলের নাম ব্যবহার করা হয়। এই প্রচারণার আন্তর্জাতিক প্রসারের জন্য, কিছু ফাইল পর্তুগিজ, ফরাসি, জার্মান এবং মালয়সহ বিভিন্ন ভাষাতেও পাওয়া যায়।

স্ক্রিপ্টগুলো অত্যন্ত দুর্বোধ্য এবং এতে আসল মাইক্রোসফট উইন্ডোজ আপডেট উপাদানগুলোর অনুকরণে তৈরি করা ব্যাপক মন্তব্য ও মেটাডেটা রয়েছে। অসংখ্য মন্তব্য চীনা ভাষায় লেখা এবং এতে নিম্নলিখিত ফাংশনগুলোর উল্লেখ আছে:

• উইন্ডোজ আপডেট মডিউল
• সার্টিফিকেট যাচাইকরণ পদ্ধতি
• সিস্টেমের অখণ্ডতা যাচাই
• স্থাপনা-সম্পর্কিত প্রক্রিয়া

এই উপাদানগুলোর উদ্দেশ্য হলো ফাইলগুলোকে বৈধ বলে প্রতীয়মান করা এবং নিরাপত্তা বিশ্লেষণকে বাধাগ্রস্ত করা।

বহু-পর্যায়ের সংক্রমণ শৃঙ্খল দূরবর্তী অ্যাক্সেস সক্ষম করে

'WScript.exe'-এর মাধ্যমে একবার চালু হলে, ক্ষতিকারক VBScript-টি অতিরিক্ত VBScript উপাদান ডাউনলোড ও কার্যকর করার মাধ্যমে একটি বহু-পর্যায়ের সংক্রমণ প্রক্রিয়া শুরু করে। প্রাথমিক স্ক্রিপ্টটির প্রধান উদ্দেশ্য হলো একটি রিমোট সার্ভার থেকে দুটি সেকেন্ডারি পেলোড সংগ্রহ করা। একটি পেলোড উইন্ডোজ ইউজার অ্যাকাউন্ট কন্ট্রোল (UAC)-এর আচরণকে প্রভাবিত করার চেষ্টা করে, আর অন্যটি ManageEngine RMM Central-এর ইনস্টলেশন প্যাকেজ সম্বলিত একটি ZIP আর্কাইভ ডাউনলোড ও চালু করে।

বৈধ RMM সফটওয়্যারের সফল ইনস্টলেশন আক্রমণকারীদের দূরবর্তী অ্যাক্সেসের ক্ষমতা প্রদান করে, যার ফলে তারা ভুক্তভোগীর সিস্টেম নিয়ন্ত্রণ করতে পারে।

হোয়াটসঅ্যাপ ওয়েব এবং ডেস্কটপে কার্যকর করার বিভিন্ন পথ

ব্যবহৃত হোয়াটসঅ্যাপ প্ল্যাটফর্মের ওপর নির্ভর করে সংক্রমণের প্রক্রিয়া ভিন্ন হয়। হোয়াটসঅ্যাপ ওয়েবে, ভুক্তভোগীদের ফাইলটি ডাউনলোড করতে হয় এবং সেটিকে একটি আসল নথি ভেবে ডাউনলোড ফোল্ডার বা ব্রাউজার হিস্ট্রি থেকে ম্যানুয়ালি খুলতে হয়।

এর বিপরীতে, হোয়াটসঅ্যাপ ডেস্কটপ অ্যাপ্লিকেশনটি ম্যালওয়্যারটিকে সরাসরি ক্লায়েন্ট পরিবেশে কার্যকর হতে দেয়। প্রসেস বিশ্লেষণে দেখা যায় যে, অ্যাপ্লিকেশনটির ব্যাকগ্রাউন্ড প্রসেস 'WhatsApp.Root.exe' 'WScript.exe' চালু করার জন্য দায়ী, যা পরবর্তীতে ক্ষতিকারক প্রক্রিয়াটি শুরু করে।

পূর্ববর্তী ম্যালওয়্যার কার্যক্রমের সাথে সম্ভাব্য সংযোগ

যদিও এই অভিযানটিকে আনুষ্ঠানিকভাবে কোনো নির্দিষ্ট হুমকি গোষ্ঠীর কাজ হিসেবে চিহ্নিত করা হয়নি, তদন্তকারীরা Gh0st RAT এবং ValleyRAT ম্যালওয়্যার পরিবারের সাথে যুক্ত পূর্ববর্তী ক্ষতিকারক কার্যকলাপের অবকাঠামোগত মিল খুঁজে পেয়েছেন। এই সাদৃশ্যগুলো থেকে বোঝা যায় যে, এই অভিযানটি হয়তো পূর্ববর্তী সাইবার অপরাধমূলক অভিযানগুলোর সাথে সম্পদ বা কৌশল ভাগ করে নিয়েছে।

হোয়াটসঅ্যাপ ব্যবহারকারীদের জন্য প্রয়োজনীয় সতর্কতা

নিরাপত্তা বিশেষজ্ঞরা ব্যবহারকারীদের হোয়াটসঅ্যাপের মাধ্যমে অপ্রত্যাশিত অ্যাটাচমেন্ট পেলে সতর্ক থাকার পরামর্শ দেন, এমনকি যদি বার্তাগুলো বিশ্বস্ত পরিচিতি থেকে এসেছে বলেও মনে হয়। নিম্নলিখিত ফাইল প্রকারগুলো স্বাধীনভাবে বৈধতা যাচাই না করে কখনোই খোলা উচিত নয়:

• VBS এবং VBE স্ক্রিপ্ট ফাইল
• এক্সিকিউটেবল ফাইল যেমন EXE, BAT, এবং CMD
• জেএস এবং পিএস১ সহ স্ক্রিপ্ট-ভিত্তিক ফরম্যাট

বিশ্বস্ত যোগাযোগ প্ল্যাটফর্মগুলোকে কাজে লাগিয়ে চালানো ম্যালওয়্যার আক্রমণের বিরুদ্ধে সবচেয়ে কার্যকর প্রতিরক্ষা ব্যবস্থাগুলোর মধ্যে একটি হলো, অ্যাটাচমেন্ট খোলার আগে তা যাচাই করে নেওয়া।