TCLBANKER ট্রোজান ভিকটিমদের নিজস্ব মেসেজিং অ্যাকাউন্টের মাধ্যমে ছড়িয়ে পড়ে
Elastic Security Labs-এর নিরাপত্তা গবেষকরা TCLBANKER নামে একটি নতুন ব্রাজিলিয়ান ব্যাংকিং ট্রোজান আবিষ্কার করেছেন। এটি কোনো মেশিনে সংক্রমিত হলে, শিকারের WhatsApp ও Outlook অ্যাকাউন্ট দখল করে নেয় এবং তাদের পরিচিতজনদের কাছে ফিশিং বার্তা পাঠায়।
এই প্রচারণাটি REF3076 হিসেবে চিহ্নিত। সাধারণ অবকাঠামো ও কোড প্যাটার্নের ভিত্তিতে, গবেষকরা TCLBANKER-কে পূর্বপরিচিত ম্যালওয়্যার পরিবার MAVERICK/SORVEPOTEL-এর সাথে সংযুক্ত করেছেন।
ট্রোজান একটি AI প্রম্পট বিল্ডারের মাধ্যমে ছড়িয়ে পড়ে
Elastic Security Labs জানায়, ম্যালওয়্যারটি Logi AI Prompt Builder-এর একটি ট্রোজানাইজড ইনস্টলার হিসেবে আসে, যেটি একটি বাস্তব স্বাক্ষরিত Logitech অ্যাপ। ইনস্টলারটি একটি ZIP ফাইলে আসে এবং একটি Flutter প্লাগিনের মতো দেখতে একটি ক্ষতিকর ফাইল চালাতে DLL সাইডলোডিং ব্যবহার করে।
একবার লোড হলে, ট্রোজানটি দুটি .NET Reactor-সুরক্ষিত পেলোড স্থাপন করে। একটি হলো ব্যাংকিং মডিউল এবং অন্যটি হলো স্ব-প্রচারের জন্য নির্মিত একটি ওয়ার্ম মডিউল।
লোড হওয়ার পরে, ট্রোজানটি দুটি .NET Reactor-সুরক্ষিত পেলোড স্থাপন করে। একটি হলো ব্যাংকিং মডিউল, এবং অন্যটি হলো একটি ওয়ার্ম মডিউল যা নিজেকে ছড়িয়ে দিতে পারে।
ক্ষতিকর ফাইল প্রদর্শনকারী ফাইল ডিরেক্টরির বিষয়বস্তু। সূত্র: Elastic Security Labs।
অ্যান্টি-অ্যানালিসিস চেক গবেষকদের বাধা দেয়
TCLBANKER-এর লোডার যে ফিঙ্গারপ্রিন্ট তৈরি করে তা তিনটি অংশ নিয়ে গঠিত।
- অ্যান্টি-ডিবাগিং চেক।
- ডিস্ক ও মেমোরি তথ্য।
- ভাষা সেটিংস।
ফিঙ্গারপ্রিন্টটি এম্বেডেড পেলোডের ডিক্রিপশন কী তৈরি করে। যদি কিছু সন্দেহজনক মনে হয়, যেমন একটি ডিবাগার সংযুক্ত থাকা, স্যান্ডবক্স পরিবেশ বা কম ডিস্ক স্পেস, তাহলে ডিক্রিপশন অর্থহীন ডেটা তৈরি করে এবং ম্যালওয়্যারটি নীরবে বন্ধ হয়ে যায়।
লোডারটি নিরাপত্তা সরঞ্জামগুলোকে অন্ধ করতে Windows টেলিমেট্রি ফাংশনও প্যাচ করে। ইউজার-মোড হুক এড়াতে এটি সরাসরি সিসকল ট্র্যাম্পোলিন তৈরি করে।
একটি ওয়াচডগ সর্বদা x64dbg, Ghidra, dnSpy, IDA Pro, Process Hacker ও Frida-এর মতো বিশ্লেষণ সফটওয়্যার খুঁজতে থাকে। এই সরঞ্জামগুলোর যেকোনো একটি পাওয়া গেলে, পেলোডটি কাজ করা বন্ধ করে দেয়।
ব্যাংকিং মডিউল শুধুমাত্র ব্রাজিলিয়ান কম্পিউটারে সক্রিয় হয়
ব্যাংকিং মডিউলটি ব্রাজিলে অবস্থিত কম্পিউটারে সক্রিয় হয়। অঞ্চল কোড, টাইম জোন, সিস্টেম লোকেল ও কীবোর্ড লেআউট পরীক্ষা করে কমপক্ষে দুটি জিওফেন্সিং চেক করা হয়।
ম্যালওয়্যারটি Windows UI Automation ব্যবহার করে সক্রিয় ব্রাউজারের URL বার পড়ে। এটি Chrome, Firefox, Edge, Brave, Opera ও Vivaldi-এর মতো অনেক ব্রাউজারে কাজ করে এবং প্রতি সেকেন্ডে সক্রিয় URL পর্যবেক্ষণ করে।
ম্যালওয়্যারটি তখন URL-কে ৫৯টি এনক্রিপ্টেড URL-এর একটি তালিকার সাথে মেলায়। এই তালিকায় ব্রাজিলের ক্রিপ্টো, ব্যাংক ও ফিনটেক ওয়েবসাইটের লিঙ্ক রয়েছে।
শিকার লক্ষ্যস্থল ওয়েবসাইটগুলোর একটিতে প্রবেশ করলে, ম্যালওয়্যারটি একটি রিমোট সার্ভারে WebSocket খোলে। হ্যাকার তখন কম্পিউটারের সম্পূর্ণ রিমোট নিয়ন্ত্রণ পায়।
অ্যাক্সেস দেওয়া হলে, হ্যাকার একটি ওভারলে ব্যবহার করে যা প্রতিটি মনিটরের উপরে একটি বর্ডারহীন, শীর্ষ উইন্ডো রাখে। ওভারলেটি স্ক্রিনশটে দৃশ্যমান নয় এবং শিকাররা তারা যা দেখছে তা অন্যদের সাথে শেয়ার করতে পারে না।
হ্যাকারের ওভারলেতে তিনটি টেমপ্লেট রয়েছে:
- একটি নকল ব্রাজিলিয়ান ফোন নম্বরসহ একটি ক্রেডেনশিয়াল হার্ভেস্টিং ফর্ম।
- একটি নকল Windows Update অগ্রগতি স্ক্রিন।
- একটি "ভিশিং ওয়েট স্ক্রিন" যা শিকারদের ব্যস্ত রাখে।
দূষিত বটগুলো WhatsApp ও Outlook-এ ব্রাজিলিয়ান ট্রোজান ছড়িয়ে দেয়
দ্বিতীয় পেলোডটি দুটি উপায়ে TCLBANKER নতুন শিকারদের কাছে ছড়িয়ে দেয়:
- WhatsApp ওয়েব অ্যাপ।
- Outlook ইনবক্স/অ্যাকাউন্ট।
WhatsApp বট অ্যাপের স্থানীয় ডেটাবেস ডিরেক্টরি খুঁজে বের করে Chromium ব্রাউজারে সক্রিয় WhatsApp Web সেশন খোঁজে।
বটটি ব্রাউজার প্রোফাইল ক্লোন করে, তারপর একটি হেডলেস Chromium ইন্সট্যান্স চালু করে। উইকিপিডিয়া অনুযায়ী, "একটি হেডলেস ব্রাউজার হলো গ্রাফিকাল ইউজার ইন্টারফেস ছাড়া একটি ওয়েব ব্রাউজার।" এরপর এটি বট শনাক্তকরণ বাইপাস করতে JavaScript ইনজেক্ট করে এবং শিকারের পরিচিতজনদের সংগ্রহ করে।
শেষ পর্যন্ত, বটটি শিকারের পরিচিতজনদের কাছে TCLBANKER ইনস্টলার সম্বলিত ফিশিং বার্তা পাঠায়।
Outlook বট Component Object Model (COM) অটোমেশনের মাধ্যমে সংযুক্ত হয়। COM অটোমেশন একটি প্রোগ্রামকে অন্য একটি প্রোগ্রাম নিয়ন্ত্রণ করতে দেয়।
বটটি Contacts ফোল্ডার ও ইনবক্স ইতিহাস থেকে ইমেইল ঠিকানা নেয়, তারপর শিকারের অ্যাকাউন্ট ব্যবহার করে ফিশিং ইমেইল পাঠায়।
ইমেইলগুলোর সাবজেক্ট লাইন হলো "NFe disponível para impressão," যার ইংরেজি অর্থ "Electronic Invoice Available for Printing"। এটি একটি ব্রাজিলিয়ান ERP প্ল্যাটফর্মের ছদ্মবেশ ধারণকারী ফিশিং ডোমেনের সাথে লিঙ্ক করে।
যেহেতু ইমেইলগুলো বাস্তব অ্যাকাউন্ট থেকে পাঠানো হয়, সেগুলো স্প্যাম ফিল্টার বাইপাস করার সম্ভাবনা বেশি।
গত সপ্তাহে, Cryptopolitan জানিয়েছিল যে গবেষকরা চারটি Android ট্রোজান চিহ্নিত করেছেন যা নকল লগইন ওভারলে দিয়ে ৮০০+ ক্রিপ্টো, ব্যাংকিং ও সোশ্যাল মিডিয়া অ্যাপকে লক্ষ্য করছে।
আরেকটি প্রতিবেদনে, StepDrainer নামক একটি ম্যালওয়্যার নকল Web3 ওয়ালেট সংযোগ ইন্টারফেস ব্যবহার করে ২০+ ব্লকচেইন নেটওয়ার্কে ওয়ালেট খালি করছে।
যদি আপনি সাধারণ হাইপ ছাড়া DeFi ক্রিপ্টোতে একটি শান্ত প্রবেশের পথ চান, তাহলে এই বিনামূল্যের ভিডিওটি দিয়ে শুরু করুন।
আপনি আরও পছন্দ করতে পারেন
পরবর্তী বড় ক্রিপ্টো সতর্কতা: APEMARS স্টেজ ২০ $0.000368960-এ ১৩৯০% গ্যাপ টার্গেট করছে যখন Ethereum এবং Monero বাজার ধরে রেখেছে এবং শীর্ষ অল্টকয়েন পছন্দ পরিবর্তিত হচ্ছে
TON মূল্য পূর্বাভাস: টেকনিক্যাল রিসেট উন্মোচনের সাথে $3.00 নাগালের মধ্যে
