CrashFix Chrome Extension

সাইবার নিরাপত্তা গবেষকরা KongTuke নামে একটি সক্রিয় প্রচারণা আবিষ্কার করেছেন, যা বিজ্ঞাপন ব্লকার হিসেবে দায়ী একটি ক্ষতিকারক Google Chrome এক্সটেনশনের অপব্যবহার করে। এই এক্সটেনশনটি ইচ্ছাকৃতভাবে ব্রাউজার ক্র্যাশ করার জন্য এবং ClickFix-স্টাইলের সোশ্যাল ইঞ্জিনিয়ারিং-এর মাধ্যমে আক্রমণকারী-নিয়ন্ত্রিত কমান্ডগুলি কার্যকর করতে ভুক্তভোগীদের কাজে লাগানোর জন্য তৈরি করা হয়েছে। এই কৌশলটির সর্বশেষ বিবর্তনের কোডনাম CrashFix এবং শেষ পর্যন্ত ModeloRAT নামে পরিচিত একটি পূর্বে নথিভুক্ত রিমোট অ্যাক্সেস ট্রোজান সরবরাহ করে।

KongTuke, যা 404 TDS, Chaya_002, LandUpdate808, এবং TAG-124 নামেও ট্র্যাক করা হয়, একটি ট্র্যাফিক ডিস্ট্রিবিউশন সিস্টেম (TDS) হিসেবে কাজ করে। এটি ভিকটিম পরিবেশের প্রোফাইল তৈরি করে এবং নির্বাচিত লক্ষ্যবস্তুগুলিকে ক্ষতিকারক পেলোড ডেলিভারি অবকাঠামোতে পুনঃনির্দেশিত করে। সংক্রামিত হোস্টগুলির অ্যাক্সেস তারপর র‍্যানসমওয়্যার অপারেটর সহ অন্যান্য হুমকিদাতাদের কাছে বিক্রি বা স্থানান্তর করা হয়, যাতে সেকেন্ডারি-স্টেজ আপস সক্ষম হয়।

TAG-124 অবকাঠামো ব্যবহার করে পূর্বে যেসব হুমকি গোষ্ঠী লক্ষ্য করা গেছে, তাদের মধ্যে রয়েছে Rhysida ransomware, Interlock ransomware, এবং TA866 (Asylum Ambuscade)। এপ্রিল ২০২৫ সালের একটি প্রতিবেদন অনুসারে, এই কার্যকলাপটি SocGholish এবং D3F@ck Loader-এর সাথেও যুক্ত বলে জানা গেছে।

Chrome ওয়েব স্টোর থেকে আপস পর্যন্ত

নথিভুক্ত সংক্রমণ শৃঙ্খলে, ভুক্তভোগীরা অনলাইনে একটি বিজ্ঞাপন ব্লকার অনুসন্ধান করেছিলেন এবং তাদের একটি ক্ষতিকারক বিজ্ঞাপন পরিবেশন করা হয়েছিল যা তাদের সরাসরি অফিসিয়াল ক্রোম ওয়েব স্টোরে হোস্ট করা একটি ব্রাউজার এক্সটেনশনে পুনঃনির্দেশিত করেছিল।

'NexShield – Advanced Web Guardian' (ID: cpcdkmjddocikjdkbbeiaafnpdbdafmi) নামের এই এক্সটেনশনটি নিজেকে একটি 'চূড়ান্ত গোপনীয়তা ঢাল' হিসেবে উপস্থাপন করেছে যা বিজ্ঞাপন, ট্র্যাকার, ম্যালওয়্যার এবং অনুপ্রবেশকারী ওয়েব সামগ্রী ব্লক করার দাবি করে। অপসারণের আগে, এটি কমপক্ষে ৫,০০০ ডাউনলোড জমা করেছিল।

প্রযুক্তিগতভাবে, এক্সটেনশনটি ছিল একটি বৈধ অ্যাড-ব্লকিং এক্সটেনশনের প্রায় একই রকম ক্লোন। তবে, পরিচিত ইন্টারফেসের নীচে, এটি একটি জাল সুরক্ষা সতর্কতা প্রদর্শন করার জন্য ডিজাইন করা হয়েছিল যাতে বলা হয়েছিল যে ব্রাউজারটি 'অস্বাভাবিকভাবে বন্ধ হয়ে গেছে' এবং ব্যবহারকারীদের মাইক্রোসফ্ট এজের সাথে সম্পর্কিত একটি জাল স্ক্যান শুরু করতে প্ররোচিত করে।

ম্যানুফ্যাকচার ট্রাস্টের জন্য একটি ক্র্যাশ তৈরি করা

যদি ব্যবহারকারী স্ক্যান চালানোর জন্য ক্লিক করেন, তাহলে এক্সটেনশনটি উইন্ডোজ রান ডায়ালগ খোলার এবং ক্লিপবোর্ডে ইতিমধ্যেই কপি করা একটি কমান্ড কার্যকর করার নির্দেশাবলী প্রদর্শন করবে। এটি হওয়ার সাথে সাথে, এক্সটেনশনটি ইচ্ছাকৃতভাবে একটি ডিনাইয়াল-অফ-সার্ভিস রুটিন চালু করবে যা একটি অসীম লুপের মাধ্যমে অন্তহীন রানটাইম পোর্ট সংযোগ তৈরি করবে, একই ধাপটি এক বিলিয়ন বার পর্যন্ত পুনরাবৃত্তি করবে।

এই রিসোর্স ক্লান্তির ফলে মেমোরির অত্যধিক ব্যবহার শুরু হয়, যার ফলে ব্রাউজারটি ধীর, প্রতিক্রিয়াহীন হয়ে পড়ে এবং অবশেষে ক্র্যাশের দিকে ঠেলে দেয়। ইচ্ছাকৃত অস্থিরতা কোনও পার্শ্ব প্রতিক্রিয়া ছিল না, এটি ছিল সামাজিক প্রকৌশলের ট্রিগার।

ইনস্টল করার পরে, এক্সটেনশনটি nexsnield[.]com-এ আক্রমণকারী-নিয়ন্ত্রিত সার্ভারে একটি অনন্য শনাক্তকারী প্রেরণ করে, যার ফলে ভিকটিম ট্র্যাকিং সক্ষম হয়। ইনস্টলেশনের পরে ক্ষতিকারক কার্যকলাপ 60 মিনিটের জন্য বিলম্বিত হয়েছিল, তারপরে এটি প্রতি 10 মিনিটে পুনরায় কার্যকর করা হয়েছিল।

DoS রুটিন চালু করার আগে, এক্সটেনশনটি স্থানীয় স্টোরেজে একটি টাইমস্ট্যাম্প সংরক্ষণ করে। ব্যবহারকারী যখন জোর করে ব্রাউজারটি বন্ধ করে পুনরায় চালু করেন, তখন একটি স্টার্টআপ হ্যান্ডলার এই মানটি পরীক্ষা করে। যদি উপস্থিত থাকে, তাহলে CrashFix পপ-আপ উপস্থিত হয় এবং তারপর টাইমস্ট্যাম্পটি মুছে ফেলে, যার ফলে এই ধারণা তৈরি হয় যে সতর্কতাটি ক্র্যাশের কারণ নয় বরং এর ফলাফল।

DoS রুটিনটি কেবল তখনই কার্যকর করা হত যখন তিনটি শর্ত পূরণ করা হত: ভিকটিম UUID বিদ্যমান ছিল, কমান্ড-এন্ড-কন্ট্রোল সার্ভার সফলভাবে সাড়া দিয়েছিল এবং পপ-আপ অন্তত একবার খোলা এবং বন্ধ করা হয়েছিল। এই যুক্তিটি দৃঢ়ভাবে ইঙ্গিত দেয় যে অপারেটররা পেলোড লুপ সম্পূর্ণরূপে সক্রিয় করার আগে ব্যবহারকারীর মিথস্ক্রিয়া নিশ্চিত করতে চেয়েছিল।

ফলাফল ছিল একটি স্বয়ংসম্পূর্ণ চক্র। ফ্রিজের পরে প্রতিটি জোরপূর্বক পুনঃসূচনা জাল সতর্কতাকে পুনরায় ট্রিগার করত। যদি এক্সটেনশনটি ইনস্টল করা থাকে, তবে দশ মিনিট পরে ক্র্যাশ আচরণ পুনরায় শুরু হত।

অস্পষ্টতা, বিশ্লেষণ-বিরোধীতা, এবং ভূমির বাইরে বসবাস

ভুয়া পপ-আপটি বেশ কিছু অ্যান্টি-অ্যানালাইসিস ব্যবস্থা বাস্তবায়ন করেছে, ডান-ক্লিক প্রসঙ্গ মেনু অক্ষম করেছে এবং ডেভেলপার টুল অ্যাক্সেস করার জন্য সাধারণত ব্যবহৃত কীবোর্ড শর্টকাটগুলি ব্লক করেছে।

CrashFix কমান্ডটি বৈধ Windows ইউটিলিটি finger.exe-এর অপব্যবহার করে ১৯৯.২১৭.৯৮[.]১০৮ থেকে একটি সেকেন্ডারি-স্টেজ পেলোড পুনরুদ্ধার এবং কার্যকর করেছে। কংটুকের ফিঙ্গার ইউটিলিটির ব্যবহার পূর্বে ২০২৫ সালের ডিসেম্বরে নথিভুক্ত করা হয়েছিল।

ডাউনলোড করা পেলোডটি ছিল একটি PowerShell কমান্ড যা একটি অতিরিক্ত স্ক্রিপ্ট এনেছিল, যা Base64 এনকোডিং এবং XOR অপারেশনের একাধিক স্তরের মাধ্যমে এর বিষয়বস্তু গোপন করেছিল, যা SocGholish প্রচারণার সাথে দীর্ঘকাল ধরে যুক্ত কৌশলগুলির প্রতিধ্বনি করে।

ডিক্রিপ্ট করার পর, স্ক্রিপ্টটি ৫০টিরও বেশি পরিচিত বিশ্লেষণ সরঞ্জাম এবং ভার্চুয়াল মেশিন সূচকের জন্য সক্রিয় প্রক্রিয়াগুলি স্ক্যান করে এবং যদি কোনও পাওয়া যায় তবে তা অবিলম্বে বন্ধ করে দেয়। এটি সিস্টেমটি ডোমেন-সংযুক্ত কিনা বা একটি স্বতন্ত্র ওয়ার্কগ্রুপের অংশ কিনা তাও মূল্যায়ন করে, তারপর একই সার্ভারে একটি HTTP POST অনুরোধ ফেরত পাঠায় যেখানে অন্তর্ভুক্ত থাকে:

• ইনস্টল করা অ্যান্টিভাইরাস পণ্যের তালিকা
• একটি হোস্ট শ্রেণীবিভাগ পতাকা: স্বতন্ত্র সিস্টেমের জন্য 'ABCD111' এবং ডোমেন-সংযুক্ত মেশিনের জন্য 'BCDA222'

ModeloRAT: কর্পোরেট পরিবেশের জন্য তৈরি

যদি সংক্রামিত সিস্টেমটিকে ডোমেইন-জয়েনড হিসেবে চিহ্নিত করা হয়, তাহলে সংক্রমণ শৃঙ্খলটি মডেলোর্যাট, একটি পাইথন-ভিত্তিক উইন্ডোজ রিমোট অ্যাক্সেস ট্রোজান স্থাপনের মাধ্যমে শেষ হয়। ম্যালওয়্যারটি RC4-এনক্রিপ্টেড চ্যানেলের মাধ্যমে 170.168.103[.]208 অথবা 158.247.252[.]178-এ কমান্ড-এন্ড-কন্ট্রোল সার্ভারের সাথে যোগাযোগ করে।

ModeloRAT উইন্ডোজ রেজিস্ট্রির মাধ্যমে স্থায়িত্ব প্রতিষ্ঠা করে এবং বাইনারি, DLL, পাইথন স্ক্রিপ্ট এবং পাওয়ারশেল কমান্ড কার্যকর করতে সহায়তা করে। এতে অন্তর্নির্মিত জীবনচক্র নিয়ন্ত্রণও অন্তর্ভুক্ত রয়েছে, যা অপারেটরদের দূরবর্তীভাবে ইমপ্লান্ট আপডেট করতে বা ডেডিকেটেড কমান্ড ব্যবহার করে এটি বন্ধ করতে দেয়।

RAT আচরণগত সনাক্তকরণ এড়াতে পরিকল্পিত একটি বহু-স্তরের বীকন কৌশল বাস্তবায়ন করে:

• স্বাভাবিক পরিস্থিতিতে, এটি প্রতি 300 সেকেন্ডে আলোকিত হয়।
• সার্ভার যখন সক্রিয় মোডে স্যুইচ করে, তখন এটি একটি কনফিগারযোগ্য ব্যবধানে আক্রমণাত্মকভাবে পোল করে, ডিফল্টভাবে ১৫০ মিলিসেকেন্ডে।
• টানা ছয়বার যোগাযোগ ব্যর্থতার পর, এটি ৯০০-সেকেন্ডের ব্যবধানে ফিরে আসে।
• একবার ব্যর্থতার পর, এটি স্ট্যান্ডার্ড টাইমিংয়ে ফিরে আসার আগে ১৫০ সেকেন্ড পরে পুনরায় সংযোগের চেষ্টা করে।

এই অভিযোজিত যুক্তি ModeloRAT-কে নেটওয়ার্ক ট্র্যাফিকের সাথে মিশে যেতে সাহায্য করে এবং একই সাথে প্রয়োজনে দ্রুত অপারেটর ইন্টারঅ্যাকশন সমর্থন করে।

একটি দ্বি-ট্র্যাক সংক্রমণ কৌশল

ডোমেইন-জয়েনড সিস্টেমে ModeloRAT-এর স্থাপনা দৃঢ়ভাবে কর্পোরেট পরিবেশ এবং গভীর নেটওয়ার্ক অনুপ্রবেশের উপর জোর দেওয়ার ইঙ্গিত দেয়, তবে স্বতন্ত্র মেশিনগুলিকে একটি ভিন্ন মাল্টি-স্টেজ সিকোয়েন্সের মধ্য দিয়ে রুট করা হয়েছিল। এই ক্ষেত্রে, কমান্ড-এন্ড-কন্ট্রোল সার্ভার শেষ পর্যন্ত 'TEST PAYLOAD!!!!' বার্তাটি দিয়ে প্রতিক্রিয়া জানায়, যা ইঙ্গিত দেয় যে এই সমান্তরাল সংক্রমণ পথটি এখনও বিকাশাধীন থাকতে পারে।

বৃহত্তর চিত্র: ডিজাইনের মাধ্যমে সামাজিক প্রকৌশল

কংটুকের ক্র্যাশফিক্স প্রচারণা দেখায় যে আধুনিক হুমকির কারণগুলি কীভাবে সামাজিক প্রকৌশলকে সম্পূর্ণরূপে প্রকৌশলীকৃত নিয়ন্ত্রণ লুপে রূপান্তরিত করছে। একটি বিশ্বস্ত ওপেন-সোর্স প্রকল্পের ছদ্মবেশ ধারণ করে, ইচ্ছাকৃতভাবে ব্রাউজারটিকে অস্থিতিশীল করে এবং তারপরে একটি জাল সমাধান উপস্থাপন করে, আক্রমণকারীরা ব্যবহারকারীর হতাশাকে সম্মতিতে রূপান্তরিত করে।

এই অভিযানটি দেখায় যে কীভাবে ব্রাউজার এক্সটেনশন, বিশ্বস্ত মার্কেটপ্লেস এবং জীবিত-অফ-দ্য-ল্যান্ড টুলগুলিকে একটি স্থিতিস্থাপক সংক্রমণ শৃঙ্খলে মিশে যেতে পারে, যা কেবল গোপনে নয়, বরং বারবার শিকারকে আক্রমণ শুরু করার জন্য কৌশলগতভাবে ব্যবহার করে টিকে থাকে।