AgreeTo Malicious Outlook অ্যাড-ইন

সাইবার নিরাপত্তা গবেষকরা এমন একটি তথ্য আবিষ্কার করেছেন যা সম্ভবত মাইক্রোসফট আউটলুকের প্রথম দূষিত অ্যাড-ইন হিসেবে ধরা পড়ে। AgreeToSteal নামক এই প্রচারণাটি একটি অভিনব এবং বিরক্তিকর সাপ্লাই চেইন আক্রমণের প্রতিনিধিত্ব করে যা মাইক্রোসফটের অফিস অ্যাড-ইন ইকোসিস্টেমের উপর আস্থার অপব্যবহার করে।

এই ঘটনায়, একজন হুমকিদাতা একটি পরিত্যক্ত অথচ বৈধ আউটলুক অ্যাড-ইনের সাথে সম্পর্কিত ডোমেনটি হাইজ্যাক করে। মেয়াদোত্তীর্ণ অবকাঠামোকে পুনঃব্যবহার করে, আক্রমণকারী একটি জাল মাইক্রোসফ্ট লগইন পৃষ্ঠা স্থাপন করে এবং সফলভাবে 4,000 টিরও বেশি ব্যবহারকারীর শংসাপত্র সংগ্রহ করে।

এই আবিষ্কারটি বাজার-ভিত্তিক সরবরাহ শৃঙ্খলের হুমকির ক্ষেত্রে একটি নতুন পর্যায়ের ইঙ্গিত দেয়, এবার এর মূল লক্ষ্য এন্টারপ্রাইজ উৎপাদনশীলতা সফ্টওয়্যার।

উৎপাদনশীলতা টুল থেকে ফিশিং ভেক্টর পর্যন্ত

AgreeTo নামে পরিচিত এই হ্যাকড অ্যাড-ইনটি মূলত ব্যবহারকারীদের একাধিক ক্যালেন্ডার একত্রিত করতে এবং ইমেলের মাধ্যমে প্রাপ্যতা ভাগ করে নিতে সাহায্য করার জন্য তৈরি করা হয়েছিল। এটি সর্বশেষ ২০২২ সালের ডিসেম্বরে আপডেট করা হয়েছিল।

ঐতিহ্যবাহী ম্যালওয়্যার বিতরণ প্রচারণার বিপরীতে, এই আক্রমণে কোডবেসের দুর্বলতা কাজে লাগানো হয়নি। পরিবর্তে, এটি অফিস অ্যাড-ইনগুলির কার্যকারিতার কাঠামোগত দুর্বলতাকে পুঁজি করে। গবেষকরা এটিকে পূর্বে পর্যবেক্ষণ করা আক্রমণের একটি বৈচিত্র্য হিসাবে শ্রেণীবদ্ধ করেছেন যা ব্রাউজার এক্সটেনশন, এনপিএম প্যাকেজ এবং আইডিই প্লাগইনগুলিকে প্রভাবিত করে, বিশ্বস্ত বিতরণ চ্যানেল যেখানে অনুমোদিত সামগ্রী পরে যাচাই-বাছাই ছাড়াই পরিবর্তিত হতে পারে।

অফিস অ্যাড-ইনগুলি বেশ কয়েকটি জটিল কারণের কারণে ঝুঁকি বৃদ্ধি করে:

• এগুলি সরাসরি আউটলুকের মধ্যেই কার্যকর করা হয়, যেখানে অত্যন্ত সংবেদনশীল যোগাযোগ পরিচালনা করা হয়।
• তারা ইমেল পড়ার এবং পরিবর্তন করার ক্ষমতা সহ শক্তিশালী অনুমতির জন্য অনুরোধ করতে পারে।
• এগুলি মাইক্রোসফটের অফিসিয়াল স্টোরের মাধ্যমে বিতরণ করা হয়, যা ব্যবহারকারীর অন্তর্নিহিত বিশ্বাস উত্তরাধিকারসূত্রে লাভ করে।

AgreeTo মামলাটি একটি গুরুত্বপূর্ণ বাস্তবতা তুলে ধরে: মূল ডেভেলপার কোনও ক্ষতিকারক কাজ করেননি। একটি বৈধ পণ্য তৈরি করা হয়েছিল এবং পরে তা পরিত্যক্ত করা হয়েছিল। এই আক্রমণটি প্রকল্প পরিত্যাগ এবং বাজার তদারকির মধ্যে ব্যবধানকে কাজে লাগিয়েছে।

অফিস অ্যাড-ইন আর্কিটেকচারকে কাজে লাগানো

এই ঘটনার মূলে রয়েছে অফিস অ্যাড-ইনগুলির নকশা। ডেভেলপাররা তাদের অ্যাড-ইনগুলি মাইক্রোসফ্টের পার্টনার সেন্টারের মাধ্যমে জমা দেয়, যেখানে সমাধানটি পর্যালোচনা এবং অনুমোদনের মধ্য দিয়ে যায়। তবে, অনুমোদন মূলত একটি ম্যানিফেস্ট ফাইলের সাথে আবদ্ধ, একটি স্ট্যাটিক কোড প্যাকেজের সাথে নয়।

অফিস অ্যাড-ইনগুলি প্রচলিত সফ্টওয়্যার থেকে মৌলিকভাবে আলাদা। বান্ডেল কোড পাঠানোর পরিবর্তে, ম্যানিফেস্ট ফাইলটি একটি URL নির্দিষ্ট করে। প্রতিবার যখন অ্যাড-ইনটি Outlook এর ভিতরে খোলা হয়, তখন অ্যাপ্লিকেশনটি সেই URL থেকে লাইভ কন্টেন্ট পুনরুদ্ধার করে এবং এটি একটি আইফ্রেমের মধ্যে রেন্ডার করে।

এই স্থাপত্য মডেলটি একটি গুরুত্বপূর্ণ এক্সপোজার প্রবর্তন করে: একবার অনুমোদিত এবং স্বাক্ষরিত হয়ে গেলে, অ্যাড-ইনটি রিয়েল টাইমে রেফারেন্স করা URL-এ পরিবেশিত যেকোনো সামগ্রী লোড করতে থাকে। যদি ডোমেনের মেয়াদ শেষ হওয়ার কারণে বা অবকাঠামো পরিত্যাগের কারণে সেই URL-এর নিয়ন্ত্রণ পরিবর্তন হয়, তাহলে স্বাক্ষরিত ম্যানিফেস্ট পরিবর্তন না করেই ক্ষতিকারক সামগ্রী প্রবর্তন করা যেতে পারে।

AgreeTo ক্ষেত্রে, ম্যানিফেস্টটি একটি Vercel-হোস্টেড URL (outlook-one.vercel[.]app) উল্লেখ করেছিল। ডেভেলপারের স্থাপনা মুছে ফেলার পর এবং প্রকল্পটি কার্যকরভাবে abandonware হয়ে যাওয়ার পর, URLটি দাবিযোগ্য হয়ে ওঠে। অ্যাড-ইনটি মাইক্রোসফ্টের স্টোরে তালিকাভুক্ত থাকা অবস্থায় একজন আক্রমণকারী এটির নিয়ন্ত্রণ দখল করে নেয়।

প্রতিবেদনের সময় পর্যন্ত, অবকাঠামোটি সক্রিয় রয়েছে।

ফিশিং এক্সিকিউশন এবং ক্রেডেনশিয়াল এক্সফিল্ট্রেশন

পরিত্যক্ত স্থাপনার দাবি করার পর, আক্রমণকারী উল্লেখিত URL-এ একটি ফিশিং কিট হোস্ট করেছিল। ক্ষতিকারক সামগ্রীতে ব্যবহারকারীর শংসাপত্র ক্যাপচার করার জন্য ডিজাইন করা একটি ভুয়া মাইক্রোসফ্ট সাইন-ইন পৃষ্ঠা প্রদর্শিত হয়েছিল।

টেলিগ্রাম বট এপিআই ব্যবহার করে ক্যাপচার করা পাসওয়ার্ডগুলি মুছে ফেলা হয়েছিল। এরপর ভুক্তভোগীদের বৈধ মাইক্রোসফ্ট লগইন পৃষ্ঠায় পুনঃনির্দেশিত করা হয়েছিল, যার ফলে সন্দেহ হ্রাস পায় এবং সফলভাবে শংসাপত্র চুরির সম্ভাবনা বৃদ্ধি পায়।

যদিও পর্যবেক্ষণকৃত কার্যকলাপটি শংসাপত্র সংগ্রহের উপর কেন্দ্রীভূত ছিল, গবেষকরা সতর্ক করে দিয়েছেন যে এর প্রভাব উল্লেখযোগ্যভাবে আরও গুরুতর হতে পারত। অ্যাড-ইনটি ReadWriteItem অনুমতি দিয়ে কনফিগার করা হয়েছিল, যা ব্যবহারকারীর ইমেলগুলি পড়তে এবং সংশোধন করার ক্ষমতা সক্ষম করে। আরও আক্রমণাত্মক হুমকি অভিনেতা জাভাস্ক্রিপ্ট ব্যবহার করতে পারতেন যা নীরবে মেলবক্সের বিষয়বস্তুগুলিকে ছড়িয়ে দিতে সক্ষম, এন্টারপ্রাইজ পরিবেশের মধ্যে একটি শক্তিশালী গুপ্তচরবৃত্তি ভেক্টর তৈরি করতে পারে।

বিস্তৃত প্রভাব সহ একটি মার্কেটপ্লেস তদারকির ব্যবধান

প্রাথমিক জমা দেওয়ার প্রক্রিয়ার সময় মাইক্রোসফ্ট অ্যাড-ইন ম্যানিফেস্ট পর্যালোচনা করে, কিন্তু অনুমোদনের পরে রেফারেন্স করা URL গুলি দ্বারা পরিবেশিত লাইভ কন্টেন্টের কোনও ধারাবাহিক যাচাইকরণ হয় না। এটি একটি কাঠামোগত বিশ্বাসের ব্যবধান তৈরি করে: ম্যানিফেস্টটি একবার স্বাক্ষরিত হয়, তবুও এটি যে দূরবর্তী কন্টেন্টটি উল্লেখ করে তা অনির্দিষ্টকালের জন্য পরিবর্তিত হতে পারে।

AgreeTo অ্যাড-ইনটি ২০২২ সালের ডিসেম্বরে স্বাক্ষরিত হয়েছিল। যদিও অনুমোদনের সময় মূল বিষয়বস্তুটি বৈধ ছিল, একই URL এখন একটি ফিশিং কিট হিসেবে কাজ করে এবং অ্যাড-ইনটি স্টোরে পাওয়া যায়।

এই সমস্যাটি মাইক্রোসফটের ইকোসিস্টেমের বাইরেও বিস্তৃত। যেকোনো মার্কেটপ্লেস যদি দূরবর্তী গতিশীল নির্ভরতার উপর নজরদারি না করে একবার জমা দেওয়ার অনুমোদন দেয়, তাহলে একই ঝুঁকির সম্মুখীন হতে হয়। কাঠামোগত দুর্বলতা বিভিন্ন প্ল্যাটফর্মে সামঞ্জস্যপূর্ণ: একবার অনুমোদন, অনির্দিষ্টকালের জন্য বিশ্বাস।

বাজারের ঝুঁকি কমাতে কৌশলগত প্রশমন

AgreeToSteal দ্বারা প্রকাশিত পদ্ধতিগত দুর্বলতাগুলি মোকাবেলা করার জন্য, নিরাপত্তা বিশেষজ্ঞরা বেশ কয়েকটি প্রতিরোধমূলক ব্যবস্থা গ্রহণের পরামর্শ দিয়েছেন:

• যখন কোনও অ্যাড-ইনের রেফারেন্স করা URL এমন কন্টেন্ট পরিবেশন করা শুরু করে যা মূলত পর্যালোচনা করা হয়েছিল তার থেকে উল্লেখযোগ্যভাবে আলাদা, তখন স্বয়ংক্রিয় পুনঃপর্যালোচনা শুরু হয়।
• ডোমেন মালিকানা যাচাইকরণ বাস্তবায়ন করুন যাতে নিশ্চিত করা যায় যে অবকাঠামো ডেভেলপারের নিয়ন্ত্রণে রয়েছে, এবং হোস্টিং মালিকানা পরিবর্তন হলে অ্যাড-ইনগুলিকে চিহ্নিত করুন।
• নির্ধারিত সময়সীমার মধ্যে আপডেট না করা অ্যাড-ইনগুলি সম্পর্কে ব্যবহারকারীদের তালিকা থেকে বাদ দেওয়ার বা সতর্ক করার জন্য ব্যবস্থা স্থাপন করুন।
• এক্সপোজার এবং সম্ভাব্য প্রভাব মূল্যায়নে সাহায্য করার জন্য ডিসপ্লে ইনস্টলেশনের সংখ্যা গণনা করা হয়।

আধুনিক এক্সটেনশন ইকোসিস্টেমে সরবরাহ শৃঙ্খলের ঝুঁকি কমাতে শুধুমাত্র স্ট্যাটিক ম্যানিফেস্ট অনুমোদনের উপর নির্ভর করার পরিবর্তে লাইভ কন্টেন্টের ক্রমাগত পর্যবেক্ষণ অপরিহার্য।

গতিশীল নির্ভরতা ট্রাস্ট মডেলগুলির জন্য একটি জাগরণ আহ্বান

AgreeToSteal প্রচারণা সমসাময়িক সফ্টওয়্যার বিতরণ মডেলগুলিতে একটি মৌলিক চ্যালেঞ্জের চিত্র তুলে ধরে। অফিস অ্যাড-ইন, ব্রাউজার এক্সটেনশন এবং অনুরূপ মার্কেটপ্লেস-হোস্টেড সরঞ্জামগুলি প্রায়শই দূরবর্তী, গতিশীলভাবে পরিবেশিত সামগ্রীর উপর নির্ভর করে।

পর্যায়ক্রমিক পুনঃস্ক্যানিং এবং আচরণগত পর্যবেক্ষণ ছাড়া, বিশ্বস্ত অ্যাপ্লিকেশনগুলি নীরবে আক্রমণ ভেক্টরে পরিণত হতে পারে।

এই ঘটনাটি প্ল্যাটফর্ম অপারেটর এবং এন্টারপ্রাইজ ডিফেন্ডার উভয়ের জন্যই একটি সতর্কীকরণ হিসেবে কাজ করে: বিশ্বাসকে ক্রমাগত যাচাই করতে হবে, বিশেষ করে যখন দূরবর্তী অবকাঠামো এবং গতিশীল নির্ভরতা জড়িত থাকে।