Winos RAT Malware

চীনা ভাষা ব্যবহারকারীদের লক্ষ্যবস্তু করা হয়েছে একটি বিশেষ SEO-বিষক্রিয়ামূলক প্রচারণার মাধ্যমে যা আসল সফ্টওয়্যার ডাউনলোড পৃষ্ঠাগুলিকে বিশ্বাসযোগ্য জাল দিয়ে প্রতিস্থাপন করে। আক্রমণকারীরা ম্যানিপুলেটেড সার্চ র‍্যাঙ্কিং এবং প্রায় একই রকম ডোমেনের মাধ্যমে দূষিত ইনস্টলারদের ঠেলে দিয়েছে, যার ফলে ভুক্তভোগীদের জন্য বৈধ সফ্টওয়্যারের মতো দেখতে কিন্তু আসলে রিমোট-অ্যাক্সেস ম্যালওয়্যার ব্যবহার করা সহজ হয়ে গেছে।

প্রচারণা কীভাবে কাজ করে

হুমকিদাতারা SEO প্লাগইনের অপব্যবহার করে এবং বৈধ বিক্রেতাদের অনুকরণ করে এমন দেখতে ডোমেন নিবন্ধন করে অনুসন্ধান ফলাফলে জাল পৃষ্ঠাগুলিকে বাড়িয়ে তুলেছিল। তারা সূক্ষ্ম অক্ষর অদলবদল এবং সাবলীল চীনা কপির উপর নির্ভর করেছিল যাতে লোকেরা ক্লিক করতে বোকা বানায়। একবার ভুক্তভোগী একটি ট্রোজানাইজড ডাউনলোড পৃষ্ঠায় পৌঁছালে, ইনস্টলেশন প্যাকেজে প্রত্যাশিত অ্যাপ্লিকেশন এবং একটি লুকানো ক্ষতিকারক উপাদান উভয়ই থাকে। এই মিশ্রণটি সাধারণ ব্যবহারকারীদের দ্বারা সনাক্তকরণ অসম্ভব করে তোলে।

লক্ষ্য এবং সময়রেখা

২০২৫ সালের আগস্টে গবেষকরা আবিষ্কার করেন যে এই প্রচারণাটি মূলত জনপ্রিয় উৎপাদনশীলতা এবং যোগাযোগের সরঞ্জাম অনুসন্ধানকারী ব্যবহারকারীদের আকৃষ্ট করে। শিকারদের প্রলুব্ধ করার জন্য ব্যবহৃত অনুসন্ধান লক্ষ্যবস্তুর উদাহরণগুলির মধ্যে রয়েছে:

DeepL Translate সম্পর্কে

গুগল ক্রোম

সংকেত

টেলিগ্রাম

হোয়াটসঅ্যাপ

WPS অফিস

ম্যালওয়্যার পরিবার জড়িত

এই আক্রমণগুলির ফলে Gh0st RAT-এর সাথে সম্পর্কিত বিভিন্ন রূপ স্থাপন করা হয়েছিল, বিশেষ করে HiddenGh0st এবং Winos (যা ValleyRAT নামেও পরিচিত)। Winos-কে অনেক উপনামে ট্র্যাক করা একটি সাইবার অপরাধ গোষ্ঠীর সাথে যুক্ত করা হয়েছে - সিলভার ফক্স, সুইমস্নেক, দ্য গ্রেট থিফ অফ ভ্যালি (ভ্যালি থিফ), UTG-Q-1000, এবং Void Arachne - এবং এটি কমপক্ষে 2022 সাল থেকে সক্রিয় বলে মনে করা হয়।

ডেলিভারি চেইন — কারিগরি ত্রুটি

nice.js লেবেলযুক্ত একটি ছোট জাভাস্ক্রিপ্ট ফাইল মাল্টি-স্টেপ ডেলিভারি পরিচালনা করে। স্ক্রিপ্টটি বারবার JSON প্রতিক্রিয়াগুলি আনে: একটি প্রাথমিক ডাউনলোড লিঙ্ক একটি সেকেন্ডারি লিঙ্কযুক্ত JSON ফেরত দেয়, দ্বিতীয় লিঙ্কটি আরেকটি JSON পেলোড ফেরত দেয়, যা অবশেষে ক্ষতিকারক ইনস্টলার URL-এ পুনঃনির্দেশিত হয়। এই স্তরযুক্ত পুনঃনির্দেশনা চূড়ান্ত পেলোড অবস্থানকে অস্পষ্ট করে এবং সহজ সনাক্তকরণকে জটিল করে তোলে।

ইনস্টলারের ভিতরে:

EnumW.dll নামের একটি ক্ষতিকারক DLL কিছু অ্যান্টি-অ্যানালাইসিস পরীক্ষা করে এবং তারপর দ্বিতীয় DLL (vstdlib.dll) বের করে। vstdlib.dll এর এক্সট্রাকশন এবং আচরণ মেমরির ব্যবহার বৃদ্ধি এবং বিশ্লেষণ টুলিং ধীর করার জন্য ডিজাইন করা হয়েছে, যা স্বয়ংক্রিয় বা ম্যানুয়াল পরিদর্শনকে বাধাগ্রস্ত করে।

দ্বিতীয় DLLটি একটি নির্দিষ্ট অ্যান্টিভাইরাস পণ্যের উপস্থিতির জন্য সিস্টেমটি পরীক্ষা করার পরেই মূল পেলোডটি আনপ্যাক করে এবং চালু করে। যদি সেই AV উপাদানটি সনাক্ত করা হয়, তাহলে ম্যালওয়্যারটি TypeLib COM হাইজ্যাকিং ব্যবহার করে স্থায়ীত্ব প্রতিষ্ঠা করে এবং অবশেষে insalivation.exe নামে একটি উইন্ডোজ বাইনারি কার্যকর করে।

যদি অ্যান্টিভাইরাস অনুপস্থিত থাকে, তাহলে ম্যালওয়্যারটি একটি উইন্ডোজ শর্টকাট তৈরি করে যা স্থায়িত্ব অর্জনের জন্য একই এক্সিকিউটেবলের দিকে নির্দেশ করে।

চূড়ান্ত পেলোড: SIDELOADING AIDE.dll

চূড়ান্ত লক্ষ্য হল AIDE.dll নামক একটি DLL সাইডলোড করা। একবার সক্রিয় হয়ে গেলে, AIDE.dll তিনটি প্রাথমিক কার্যক্ষমতা প্রয়োগ করে:

• কমান্ড-এন্ড-কন্ট্রোল (C2): নির্দেশাবলী এবং তথ্য বিনিময়ের জন্য একটি দূরবর্তী সার্ভারের সাথে এনক্রিপ্ট করা যোগাযোগ।
• হৃদস্পন্দন: সিস্টেম এবং ভুক্তভোগীর তথ্য পর্যায়ক্রমিক সংগ্রহ, যার মধ্যে চলমান প্রক্রিয়াগুলির তালিকা তৈরি করা এবং সুরক্ষা পণ্যের একটি হার্ড-কোডেড তালিকার সাথে সেগুলি পরীক্ষা করা অন্তর্ভুক্ত।
• মনিটর: স্থিরতার নিশ্চিতকরণ, ব্যবহারকারী-কার্যকলাপ ট্র্যাকিং, এবং C2-তে নিয়মিত বীকনিং।

অতিরিক্ত ক্ষমতা এবং প্লাগইন

C2 মডিউলটি অতিরিক্ত প্লাগইন আনার জন্য রিমোট কমান্ড সমর্থন করে। পরিচিত ক্ষমতাগুলির মধ্যে রয়েছে কীলগিং, ক্লিপবোর্ড ক্যাপচার, স্ক্রিন মনিটরিং এবং ক্রিপ্টোকারেন্সি ওয়ালেট হাইজ্যাক করার জন্য ডিজাইন করা সরঞ্জাম - বিশেষ করে ইথেরিয়াম এবং টিথার সম্পদ ধারণকারী ওয়ালেট। এই ঘটনাগুলিতে দেখা গেছে যে বেশ কয়েকটি প্লাগইন Winos ফ্রেমওয়ার্কের পুনঃব্যবহৃত উপাদান বলে মনে হচ্ছে এবং ক্রমাগত স্ক্রিন নজরদারি করতে সক্ষম।

কেন সংক্রমণটি চিহ্নিত করা কঠিন?

যেহেতু ইনস্টলারটি বৈধ অ্যাপ্লিকেশনটিকে ক্ষতিকারক পেলোডের সাথে একত্রিত করে, তাই বিশ্বস্ত প্রোগ্রামের মতো দেখতে কিছু ডাউনলোড করার সময় ব্যবহারকারী কখনও কোনও ভুল লক্ষ্য করতে পারে না। আক্রমণকারীরা এমনকি উচ্চ-র্যাঙ্কিং অনুসন্ধান ফলাফলকেও অস্ত্র হিসেবে ব্যবহার করে, যার ফলে সদিচ্ছা সম্পন্ন ব্যবহারকারীদের দ্বারা আপোস করা প্যাকেজগুলি ইনস্টল করার সম্ভাবনা বেড়ে যায়।

প্রতিরক্ষা সুপারিশ

• সফটওয়্যার ডাউনলোড করার আগে সর্বদা ডোমেইন নামগুলি সাবধানে যাচাই করুন; সূক্ষ্ম অক্ষর প্রতিস্থাপন এবং অমিল URL গুলি সন্ধান করুন।
• অনুসন্ধান ফলাফল থেকে ডাউনলোডের চেয়ে অফিসিয়াল বিক্রেতা সাইট বা যাচাইকৃত অ্যাপ স্টোর পছন্দ করুন।
• এন্ডপয়েন্ট সুরক্ষা ব্যবহার করুন যা ইনস্টলারের আচরণ (শুধুমাত্র ফাইল স্বাক্ষর নয়) পরীক্ষা করে এবং DLL সাইডলোডিং এবং COM হাইজ্যাকিংয়ের বিরুদ্ধে সুরক্ষা সক্ষম করে।
• ইনস্টলার উপাদানগুলি থেকে অস্বাভাবিক প্রক্রিয়া মেমরি ব্যবহার এবং অপ্রত্যাশিত আনপ্যাকিং/নিষ্কাশন আচরণের জন্য নজর রাখুন।

উপসংহার

এই প্রচারণাটি দেখায় যে আক্রমণকারীরা কীভাবে SEO ম্যানিপুলেশন, দেখতে একই রকম ডোমেন, মাল্টি-স্টেজ রিডাইরেকশন এবং অত্যাধুনিক DLL-ভিত্তিক ফাঁকি দিয়ে Gh0st-RAT-পরিবারের ম্যালওয়্যারকে চীনা-ভাষী ব্যবহারকারীদের কাছে ঠেলে দেয়। বৈধ বাইনারি এবং লুকানো পেলোডের মিশ্রণ সতর্কতাকে অপরিহার্য করে তোলে: উৎস যাচাই করুন, ডোমেনগুলি যাচাই করুন এবং রানটাইম আচরণের পাশাপাশি ফাইল খ্যাতি দেখে এমন প্রতিরক্ষা ব্যবহার করুন।