Evasive Jupyter Infostealer ক্যাম্পেইন বিপজ্জনক বৈকল্পিক প্রদর্শন করে

নিরাপত্তা গবেষকরা জুপিটারের একটি অত্যাধুনিক নতুন রূপের সাথে জড়িত আক্রমণের সাম্প্রতিক বৃদ্ধি দেখেছেন, একটি তথ্য চুরিকারী যা অন্তত 2020 সাল থেকে Chrome, Edge এবং Firefox ব্রাউজারগুলির ব্যবহারকারীদের লক্ষ্য করে চলেছে৷

ইয়েলো ককাটু, সোলারমার্কার এবং পোলাজার্ট নামেও পরিচিত ম্যালওয়্যারটি ব্যাকডোর মেশিন এবং কম্পিউটারের নাম, ব্যবহারকারীর অ্যাডমিন সুবিধা, কুকিজ, ওয়েব ডেটা, ব্রাউজার পাসওয়ার্ড ম্যানেজার তথ্য এবং অন্যান্য সংবেদনশীল ডেটা সহ বিভিন্ন শংসাপত্রের তথ্য সংগ্রহ করতে পারে। ভিকটিম সিস্টেম - যেমন ক্রিপ্টো-ওয়ালেট এবং রিমোট অ্যাক্সেস অ্যাপের জন্য লগইন।

একটি ক্রমাগত ডেটা চুরির সাইবার হুমকি

ভিএমওয়্যারের কার্বন ব্ল্যাক ম্যানেজড ডিটেকশন অ্যান্ড রেসপন্স (এমডিআর) পরিষেবার গবেষকরা সম্প্রতি নতুন সংস্করণ পর্যবেক্ষণ ম্যালওয়্যার লিভারেজিং পাওয়ারশেল কমান্ড পরিবর্তন এবং বৈধ-সুদর্শন, ডিজিটালভাবে স্বাক্ষরিত পেলোড, অক্টোবরের শেষ থেকে ক্রমাগতভাবে ক্রমবর্ধমান সংখ্যক সিস্টেমকে সংক্রামিত করছে।

"সাম্প্রতিক জুপিটার সংক্রমণগুলি তাদের ম্যালওয়্যার স্বাক্ষর করার জন্য একাধিক শংসাপত্র ব্যবহার করে যা, ফলস্বরূপ, ক্ষতিকারকের মেশিনে প্রাথমিক অ্যাক্সেস প্রদান করে, ক্ষতিকারক ফাইলে বিশ্বাস মঞ্জুর করতে পারে," ভিএমওয়্যার এই সপ্তাহে তার নিরাপত্তা ব্লগে বলেছে৷ "এই পরিবর্তনগুলি [বৃহস্পতির] ফাঁকি দেওয়ার ক্ষমতা বাড়ায় বলে মনে হয়, এটিকে অস্পষ্ট থাকতে দেয়।"

মরফিসেক এবং ব্ল্যাকবেরি - অন্য দুটি বিক্রেতা যারা আগে জুপিটার ট্র্যাক করেছে - ম্যালওয়্যারটিকে সম্পূর্ণ ব্যাকডোর হিসাবে কাজ করতে সক্ষম হিসাবে চিহ্নিত করেছে৷ তারা কমান্ড এবং কন্ট্রোল (C2) যোগাযোগের জন্য সমর্থন, অন্যান্য ম্যালওয়্যারের জন্য ড্রপার এবং লোডার হিসাবে কাজ করা, সনাক্তকরণ এড়াতে শেল কোড ফাঁপা করা এবং পাওয়ারশেল স্ক্রিপ্ট এবং কমান্ড কার্যকর করা সহ এর ক্ষমতাগুলি বর্ণনা করেছে।

ব্ল্যাকবেরি ওপেনভিপিএন, রিমোট ডেস্কটপ প্রোটোকল, এবং অন্যান্য দূরবর্তী অ্যাক্সেস অ্যাপ্লিকেশনগুলি অ্যাক্সেস করার পাশাপাশি জুপিটার ক্রিপ্টো-ওয়ালেট যেমন ইথেরিয়াম ওয়ালেট, মাইমনেরো ওয়ালেট এবং অ্যাটমিক ওয়ালেটকে লক্ষ্য করে পর্যবেক্ষণ করছে বলে জানিয়েছে।

ম্যালওয়্যারের অপারেটররা ম্যালওয়্যার বিতরণ করার জন্য বিভিন্ন কৌশল ব্যবহার করেছে, যার মধ্যে সার্চ ইঞ্জিন দূষিত ওয়েবসাইটগুলিতে পুনঃনির্দেশ, ড্রাইভ-বাই ডাউনলোড, ফিশিং এবং এসইও বিষাক্তকরণ — অথবা ম্যালওয়্যার বিতরণ করার জন্য সার্চ ইঞ্জিনের ফলাফলগুলিকে দূষিতভাবে পরিচালনা করা।

জুপিটার: ম্যালওয়্যার সনাক্তকরণের চারপাশে পাওয়া

সাম্প্রতিক আক্রমণগুলিতে, জুপিটারের পিছনে হুমকি অভিনেতা ম্যালওয়্যারকে ডিজিটালভাবে স্বাক্ষর করার জন্য বৈধ শংসাপত্র ব্যবহার করছে যাতে এটি ম্যালওয়্যার সনাক্তকরণ সরঞ্জামগুলির কাছে বৈধ বলে মনে হয়৷ ফাইলগুলির নামগুলি ব্যবহারকারীদেরকে খোলার জন্য প্রতারণা করার চেষ্টা করার জন্য ডিজাইন করা হয়েছে, যেমন শিরোনাম সহ "An-Employers-guide-to-group-health-continuation.exe" এবং "Word-Document-Permanent.exe-তে-কিভাবে-বানান-সম্পাদনা করা যায়"।

ভিএমওয়্যার গবেষকরা পর্যবেক্ষণ করেছেন যে ম্যালওয়্যারটি তার C2 সার্ভারে একাধিক নেটওয়ার্ক সংযোগ তৈরি করে ইনফোস্টেলার পেলোড ডিক্রিপ্ট করতে এবং মেমরিতে লোড করে, প্রায় সাথে সাথেই শিকার সিস্টেমে অবতরণ করে।

"ক্রোম, এজ, এবং ফায়ারফক্স ব্রাউজারগুলিকে লক্ষ্য করে, জুপিটার সংক্রমণগুলি এসইও বিষক্রিয়া এবং সার্চ ইঞ্জিন পুনঃনির্দেশ ব্যবহার করে ক্ষতিকারক ফাইল ডাউনলোডগুলিকে উত্সাহিত করে যা আক্রমণ শৃঙ্খলে প্রাথমিক আক্রমণ ভেক্টর," VMware-এর রিপোর্ট অনুসারে৷ "ম্যালওয়্যারটি শংসাপত্র সংগ্রহ এবং এনক্রিপ্ট করা C2 যোগাযোগ ক্ষমতা প্রদর্শন করেছে যা সংবেদনশীল ডেটা বের করে দিতে ব্যবহৃত হয়।"

Infostealers একটি সমস্যাজনক বৃদ্ধি

জুপিটার হল শীর্ষ 10টি সবচেয়ে ঘন ঘন সংক্রমণের মধ্যে যা VMware সাম্প্রতিক বছরগুলিতে ক্লায়েন্ট নেটওয়ার্কগুলিতে সনাক্ত করেছে, বিক্রেতার মতে। এটি একটি সম্পর্কে অন্যরা যা রিপোর্ট করেছে তার সাথে সামঞ্জস্যপূর্ণ তীক্ষ্ণ এবং উত্থান সংক্রান্ত কোভিড-১৯ মহামারী শুরু হওয়ার পর অনেক প্রতিষ্ঠানে দূরবর্তী কাজে বৃহৎ পরিসরে স্থানান্তরিত হওয়ার পর ইনফোস্টেলারদের ব্যবহারে।

রেড ক্যানারিউদাহরণস্বরূপ, রিপোর্ট করেছে যে রেডলাইন, র‍্যাকুন এবং ভিদারের মতো ইনফোস্টেলাররা 10 সালে একাধিকবার তার শীর্ষ 2022 তালিকা তৈরি করেছে৷ বেশিরভাগ ক্ষেত্রেই, ম্যালওয়্যারটি দূষিত বিজ্ঞাপনের মাধ্যমে বা SEO ম্যানিপুলেশনের মাধ্যমে বৈধ সফ্টওয়্যারের জন্য জাল বা বিষাক্ত ইনস্টলার ফাইল হিসাবে এসেছে৷ কোম্পানিটি আক্রমণকারীদের খুঁজে পেয়েছে প্রধানত দূরবর্তী কর্মীদের কাছ থেকে শংসাপত্র সংগ্রহ করার চেষ্টা করার জন্য ম্যালওয়্যার ব্যবহার করে যা এন্টারপ্রাইজ নেটওয়ার্ক এবং সিস্টেমগুলিতে দ্রুত, অবিরাম এবং সুবিধাপ্রাপ্ত অ্যাক্সেস সক্ষম করে।

"কোন শিল্পই ম্যালওয়্যার চুরি করার জন্য অনাক্রম্য নয় এবং এই ধরনের ম্যালওয়্যারের বিস্তার প্রায়ই সুবিধাবাদী হয়, সাধারণত বিজ্ঞাপন এবং এসইও ম্যানিপুলেশনের মাধ্যমে," রেড ক্যানারি গবেষকরা বলেছেন।

Uptycs একটি রিপোর্ট অনুরূপ এবং উদ্বেগজনক বৃদ্ধি এই বছরের শুরুতে infostealer বিতরণে. কোম্পানীর ট্র্যাক করা তথ্যে এমন ঘটনার সংখ্যা দেখানো হয়েছে যেখানে একজন আক্রমণকারী 2023 সালের প্রথম ত্রৈমাসিকে গত বছরের একই সময়ের তুলনায় দ্বিগুণেরও বেশি ইনফোস্টেলার মোতায়েন করেছে। নিরাপত্তা বিক্রেতা ব্যবহারকারীর নাম এবং পাসওয়ার্ড, ব্রাউজার তথ্য যেমন প্রোফাইল এবং অটোফিল তথ্য, ক্রেডিট কার্ড তথ্য, ক্রিপ্টো-ওয়ালেট তথ্য এবং সিস্টেম তথ্য চুরি করতে ম্যালওয়্যার ব্যবহার করে হুমকি অভিনেতাদের খুঁজে পেয়েছেন। Uptycs অনুসারে Rhadamanthys-এর মতো নতুন ইনফোস্টেলাররাও বিশেষভাবে মাল্টিফ্যাক্টর প্রমাণীকরণ অ্যাপ্লিকেশন থেকে লগ চুরি করতে পারে। চুরি করা ডেটা সম্বলিত লগগুলি তারপরে অপরাধমূলক ফোরামে বিক্রি করা হয়, যেখানে এটির প্রচুর চাহিদা রয়েছে।

“চুরি করা তথ্য এক্সফিল্ট্রেশন আছে একটি সংগঠনের উপর বিপজ্জনক প্রভাব বা ব্যক্তি, যেহেতু এটি সহজেই অন্যান্য হুমকি অভিনেতাদের জন্য প্রাথমিক অ্যাক্সেস পয়েন্ট হিসাবে ডার্ক ওয়েবে বিক্রি করা যেতে পারে, "Uptycs গবেষকরা সতর্ক করেছেন।

• এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
• PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
• প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
• প্লেটোইএসজি। কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
• প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
• উত্স: https://www.darkreading.com/attacks-breaches/evasive-jupyter-infostealer-campaign-dangerous-variant