FERRET Malware

উত্তর কোরিয়ার সাইবার অপারেটিভদের "কন্টাজিয়াস ইন্টারভিউ" প্রচারণার পেছনে থাকা ব্যক্তিদের চাকরির ইন্টারভিউ প্রক্রিয়ার আড়ালে FERRET নামে পরিচিত ম্যাকওএস ম্যালওয়্যার স্ট্রেন ব্যবহার করতে দেখা গেছে। সন্দেহাতীত লক্ষ্যবস্তুদের একটি লিঙ্কের মাধ্যমে একজন কথিত নিয়োগকারীর সাথে যোগাযোগ করতে পরিচালিত করা হয় যা একটি ত্রুটি বার্তা তৈরি করে, যা তাদের সাক্ষাৎকারটি এগিয়ে নিতে VCam বা CameraAccess এর মতো সফ্টওয়্যার ইনস্টল বা আপডেট করতে প্ররোচিত করে।

সংক্রামক সাক্ষাৎকার: একটি অবিরাম সাইবার গুপ্তচরবৃত্তির প্রচেষ্টা

২০২৩ সালের শেষের দিকে প্রাথমিকভাবে উন্মোচিত হওয়া এই সংক্রামক সাক্ষাৎকার একটি ধারাবাহিক প্রচারণার প্রতিনিধিত্ব করে যার লক্ষ্য হল প্রতারণামূলক এনপিএম প্যাকেজ এবং ভিডিও কনফারেন্সিং সফ্টওয়্যার হিসেবে পরিচিত নেটিভ অ্যাপ্লিকেশনের মাধ্যমে ভুক্তভোগীদের সংক্রামিত করা। ডিসেপটিভ ডেভেলপমেন্ট এবং ডিইভি#পপারের মতো নামেও ট্র্যাক করা এই প্রচারণাটি ক্রমবর্ধমান পরিশীলিত কৌশল ব্যবহার করে বিকশিত হচ্ছে।

বিভারটেইল এবং ইনভিজিবলফেরেট ফেলে দেওয়া

আক্রমণের এই ক্রম সাধারণত BeaverTail-এর মোতায়েনের দিকে পরিচালিত করে, যা একটি জাভাস্ক্রিপ্ট-ভিত্তিক ম্যালওয়্যার যা ব্রাউজার এবং ক্রিপ্টোকারেন্সি ওয়ালেট থেকে সংবেদনশীল ডেটা বের করার জন্য ডিজাইন করা হয়েছে। এই ম্যালওয়্যারটি অতিরিক্ত পেলোডের জন্য একটি ডেলিভারি মেকানিজম হিসেবেও কাজ করে - একটি পাইথন-ভিত্তিক ব্যাকডোর যা ইনভিজিবলফেরেট নামে পরিচিত।

অটারকুকি: ক্ষতিকারক কার্যকলাপের আরেকটি স্তর

২০২৪ সালের ডিসেম্বরে, জাপানের সাইবার নিরাপত্তা গবেষকরা আক্রমণ শৃঙ্খলে আরেকটি উপাদান শনাক্ত করেন: OtterCookie নামে একটি ম্যালওয়্যার রূপ। এই জাভাস্ক্রিপ্ট ম্যালওয়্যারটি অতিরিক্ত ক্ষতিকারক পেলোড আনা এবং চালানোর জন্য কনফিগার করা হয়েছে, যা সংক্রমণের ক্ষমতা আরও প্রসারিত করে।

ক্লিকফিক্স-স্টাইল প্রতারণার মাধ্যমে ফাঁকি দেওয়ার কৌশলগুলি পরিমার্জন করা

২০২৪ সালের শেষের দিকে যখন FERRET ম্যালওয়্যার পরিবার আবিষ্কৃত হয়, তখন গবেষকরা উল্লেখ করেন যে আক্রমণকারীরা সনাক্তকরণ এড়াতে তাদের পদ্ধতিগুলি আরও উন্নত করছে। একটি উল্লেখযোগ্য কৌশল হল ClickFix-স্টাইলের পদ্ধতি, যা ব্যবহারকারীদের ক্যামেরা এবং মাইক্রোফোন অ্যাক্সেস সমস্যা সমাধানের ভান করে macOS টার্মিনাল অ্যাপ্লিকেশনে একটি অনিরাপদ কমান্ড অনুলিপি এবং কার্যকর করতে প্রতারণা করে।

LinkedIn এর মাধ্যমে চাকরিপ্রার্থীদের লক্ষ্য করে কাজ করা

এই আক্রমণের প্রাথমিক পর্যায়টি প্রায়শই লিঙ্কডইন আউটরিচ দিয়ে শুরু হয়, যেখানে হুমকিদাতারা নিয়োগকারীদের ভূমিকায় নিজেদের উপস্থাপন করে। তাদের প্রাথমিক লক্ষ্য হল সম্ভাব্য ভুক্তভোগীদের একটি ভিডিও মূল্যায়নের জন্য রাজি করানো, যা শেষ পর্যন্ত গোল্যাং-ভিত্তিক ব্যাকডোর ইনস্টলেশনের দিকে পরিচালিত করে। এই ম্যালওয়্যারটি বিশেষভাবে ছলনাময়, যা মেটামাস্ক ওয়ালেট থেকে ক্রিপ্টোকারেন্সি তহবিল নিষ্কাশন করার জন্য ডিজাইন করা হয়েছে এবং আক্রমণকারীদের ক্ষতিগ্রস্থ ডিভাইসে কমান্ড সম্পাদন করার সুযোগ দেয়।

FERRET ম্যালওয়্যারের উপাদানগুলি ভেঙে ফেলা

গবেষকরা FERRET ম্যালওয়্যার পরিবারের সাথে সম্পর্কিত বেশ কয়েকটি উপাদান চিহ্নিত করেছেন, প্রতিটি আক্রমণ ক্রমানুসারে একটি স্বতন্ত্র ফাংশন পরিবেশন করে:

• FROSTYFERRET_UI: প্রাথমিক পর্যায়ের পেলোড, প্রায়শই ChromeUpdate বা CameraAccess অ্যাপ্লিকেশনের ছদ্মবেশে।
• FRIENDLYFERRET_SECD: 'com.apple.secd' নামে পরিচিত একটি গৌণ Go-ভিত্তিক ব্যাকডোর, যা পূর্বে ক্রিপ্টোকারেন্সি ব্যবসাগুলিকে লক্ষ্য করে লুকানো ঝুঁকি প্রচারণার সাথে যুক্ত ছিল।
• MULTI_FROSTYFERRET_CMDCODES: একটি Go কনফিগারেশন ফাইল যা দ্বিতীয় পর্যায়ের ব্যাকডোর কার্যকারিতা সমর্থন করে।

ফ্লেক্সিবলফেরেট: ম্যাকওএস-এ স্থায়িত্ব প্রতিষ্ঠা করা

FlexibleFerret নামে পরিচিত ম্যালওয়্যার আর্টিফ্যাক্টের একটি পৃথক সেটও আবিষ্কৃত হয়েছে। এই রূপটি LaunchAgent ব্যবহারের মাধ্যমে সংক্রামিত macOS সিস্টেমের মধ্যে স্থায়িত্ব বজায় রাখার উপর দৃষ্টি নিবদ্ধ করে। ম্যালওয়্যারটি InstallerAlert নামে একটি ইনস্টলার প্যাকেজের মাধ্যমে সরবরাহ করা হয়, যা 'FROSTYFERRET_UI' এর কার্যকারিতা প্রতিফলিত করে।

চাকরিপ্রার্থীদের ছাড়িয়ে আক্রমণ ভেক্টর সম্প্রসারণ করা

যদিও FlexibleFerret নমুনাগুলি Apple Installer প্যাকেজ হিসাবে বিতরণ করা হয়েছিল, তবুও ভুক্তভোগীদের সেগুলি কার্যকর করতে রাজি করানোর জন্য ব্যবহৃত সঠিক পদ্ধতিটি এখনও স্পষ্ট নয়। তবে, প্রমাণ থেকে জানা যায় যে বৈধ GitHub সংগ্রহস্থলগুলিতে জাল সমস্যা তৈরি করে ম্যালওয়্যারটি প্রচার করা হচ্ছে। কৌশলের এই পরিবর্তনটি একটি বিস্তৃত লক্ষ্যবস্তু কৌশলের ইঙ্গিত দেয় যা চাকরিপ্রার্থীদের বাইরেও বিস্তৃত, প্রযুক্তি শিল্পের মধ্যে ডেভেলপার এবং অন্যান্য পেশাদারদের লক্ষ্য করে।

উত্তর কোরিয়ার সাইবার অপরাধীরা যখন তাদের প্রতারণামূলক পদ্ধতিগুলি আরও উন্নত করে চলেছে, তখন নিরাপত্তা বিশেষজ্ঞরা অনলাইন চাকরির অফার এবং সফ্টওয়্যার ইনস্টলেশনের প্রম্পটগুলির সাথে জড়িত হওয়ার সময় আরও সতর্কতা অবলম্বন করার আহ্বান জানিয়েছেন।