GachiLoader ম্যালওয়্যার

নিরাপত্তা গবেষকরা GachiLoader নামে পরিচিত একটি নতুন চিহ্নিত জাভাস্ক্রিপ্ট-ভিত্তিক ম্যালওয়্যার লোডার আবিষ্কার করেছেন, যা Node.js ব্যবহার করে তৈরি করা হয়েছে এবং ভারী অস্পষ্টতা দ্বারা সুরক্ষিত। এই ম্যালওয়্যারটি তথাকথিত YouTube Ghost Network এর মাধ্যমে সক্রিয়ভাবে প্রচারিত হয়, যা হাইজ্যাক করা YouTube অ্যাকাউন্টগুলির একটি সংগ্রহ যা সন্দেহাতীত ব্যবহারকারীদের কাছে দূষিত সামগ্রী বিতরণ করার জন্য পুনর্ব্যবহৃত হয়।

ম্যালওয়্যার বিতরণের জন্য YouTube-এর অপব্যবহার

এই প্রচারণায় হ্যাক হওয়া ক্রিয়েটর অ্যাকাউন্ট ব্যবহার করে অস্ত্রযুক্ত ভিডিও আপলোড করা হয়েছে যা দর্শকদের ম্যালওয়্যার-লেসড ডাউনলোডগুলিতে পুনঃনির্দেশিত করে। এই অপারেশনের সাথে সম্পর্কিত প্রায় ১০০টি ভিডিও শনাক্ত করা হয়েছে, যা সম্মিলিতভাবে প্রায় ২২০,০০০ বার দেখা হয়েছে। এই আপলোডগুলি ৩৯টি হ্যাক হওয়া অ্যাকাউন্ট থেকে এসেছে, যার প্রথম কার্যকলাপটি ২২ ডিসেম্বর, ২০২৪ সালে ধরা পড়ে। যদিও গুগল তখন থেকে বেশিরভাগ কন্টেন্ট সরিয়ে ফেলেছে, তবে সরিয়ে ফেলার আগে অর্জিত নাগাল বিতরণ পদ্ধতির কার্যকারিতাকে তুলে ধরে।

কিডকাডির মাধ্যমে উন্নত পেলোড ডেলিভারি

GachiLoader-এর একটি পর্যবেক্ষণকৃত রূপ Kidkadi নামে একটি সেকেন্ডারি ম্যালওয়্যার উপাদান স্থাপন করে, যা একটি অপ্রচলিত পোর্টেবল এক্সিকিউটেবল (PE) ইনজেকশন পদ্ধতি প্রবর্তন করে। সরাসরি একটি ক্ষতিকারক বাইনারি লোড করার পরিবর্তে, কৌশলটি প্রথমে একটি বৈধ DLL লোড করে এবং তারপর রানটাইমের সময় একটি ক্ষতিকারক পেলোড দিয়ে গতিশীলভাবে প্রতিস্থাপন করার জন্য Vectored Exception Handling (VEH) ব্যবহার করে। এই অন-দ্য-ফ্লাই প্রতিস্থাপন ম্যালওয়্যারকে বৈধ প্রক্রিয়াগুলির সাথে মিশে যেতে দেয়।

মাল্টি-পেলোড ক্ষমতা এবং স্টিলথ অপারেশন

কিডকাডির বাইরে, GachiLoader-কে Rhadamanthys তথ্য চুরিকারী সরবরাহ করার জন্যও নথিভুক্ত করা হয়েছে, যা ম্যালওয়্যার ডেলিভারি প্ল্যাটফর্ম হিসেবে এর নমনীয়তা প্রদর্শন করে। অন্যান্য আধুনিক লোডারের মতো, এটি অতিরিক্ত পেলোড আনা এবং স্থাপন করার জন্য ডিজাইন করা হয়েছে এবং একই সাথে সনাক্তকরণ এবং ফরেনসিক তদন্তকে বাধাগ্রস্ত করার জন্য ব্যাপক অ্যান্টি-অ্যানালাইসিস এবং ফাঁকি পরীক্ষা পরিচালনা করে।

সামাজিক প্রকৌশলের মাধ্যমে বিশেষাধিকার বৃদ্ধি

লোডারটি নেট সেশন কমান্ডটি চালিয়ে প্রশাসনিক সুবিধাগুলি ব্যবহার করছে কিনা তা পরীক্ষা করে। যদি এই পরীক্ষাটি ব্যর্থ হয়, তবে এটি উন্নত অধিকারগুলি ব্যবহার করে পুনরায় চালু করার চেষ্টা করে, যার ফলে একটি ব্যবহারকারী অ্যাকাউন্ট নিয়ন্ত্রণ (UAC) ডায়ালগ তৈরি হয়। যেহেতু ম্যালওয়্যারটি সাধারণত জনপ্রিয় সফ্টওয়্যার হিসাবে জাল ইনস্টলারগুলিতে এমবেড করা থাকে, যা CountLoader-এ পূর্বে দেখা কৌশলগুলির অনুরূপ, তাই ভুক্তভোগীরা অজান্তেই অনুরোধটি অনুমোদন করে এবং উন্নত অ্যাক্সেস প্রদান করে।

মাইক্রোসফট ডিফেন্ডারকে নিরপেক্ষ করা হচ্ছে

চূড়ান্ত কার্যকরী পর্যায়ে, GachiLoader সক্রিয়ভাবে অন্তর্নির্মিত নিরাপত্তা প্রতিরক্ষা দুর্বল করার চেষ্টা করে। এটি SecHealthUI.exe কে লক্ষ্য করে বন্ধ করে দেয়, যা মাইক্রোসফ্ট ডিফেন্ডারের সাথে সংযুক্ত একটি প্রক্রিয়া, এবং তারপর ব্যবহারকারী ফোল্ডার, প্রোগ্রামডেটা এবং উইন্ডোজ সিস্টেম পাথের মতো নির্দিষ্ট ডিরেক্টরিগুলির স্ক্যানিং প্রতিরোধ করার জন্য বর্জন নিয়মগুলি কনফিগার করে। এটি নিশ্চিত করে যে কোনও স্টেজড বা ডাউনলোড করা পেলোড সনাক্ত করা হয়নি।

চূড়ান্ত পেলোড এক্সিকিউশন পাথ

একবার প্রতিরক্ষা দমন করা হলে, GachiLoader হয় সরাসরি একটি রিমোট সার্ভার থেকে চূড়ান্ত ম্যালওয়্যারটি উদ্ধার করে অথবা kidkadi.node নামক একটি সহায়ক লোডার ব্যবহার করে। এই উপাদানটি আবার ভেক্টরড এক্সেপশন হ্যান্ডলিংকে অপব্যবহার করে প্রাথমিক ক্ষতিকারক পেলোড লোড করে, লোডারের স্টিলথ-ফোকাসড ডিজাইনের সাথে সামঞ্জস্য বজায় রাখে।

রক্ষক এবং গবেষকদের জন্য প্রভাব

GachiLoader-এর পেছনের অভিনেতা উইন্ডোজ ইন্টার্নাল সম্পর্কে গভীর ধারণা প্রদর্শন করেছেন এবং সফলভাবে একটি পরিচিত ইনজেকশন কৌশলকে আরও এড়িয়ে চলার মতো রূপে বিকশিত করেছেন। এই উন্নয়নটি ডিফেন্ডার এবং ম্যালওয়্যার বিশ্লেষকদের জন্য PE ইনজেকশন পদ্ধতি এবং লোডার-ভিত্তিক আর্কিটেকচারের অগ্রগতি ক্রমাগত ট্র্যাক করার গুরুত্বকে আরও জোরদার করে, কারণ হুমকি অভিনেতারা আধুনিক নিরাপত্তা নিয়ন্ত্রণগুলিকে এড়িয়ে যাওয়ার জন্য তাদের কৌশলগুলিকে ক্রমাগত পরিমার্জন করে।