Phantom Stealer Malware
নিরাপত্তা বিশ্লেষকরা রাশিয়ার একাধিক শিল্পের প্রতিষ্ঠানগুলিকে লক্ষ্য করে একটি সক্রিয় এবং সু-সমন্বিত ফিশিং অভিযান আবিষ্কার করেছেন। অপারেশন মানিমাউন্ট-আইএসও নামে ট্র্যাক করা এই অভিযানটি সাবধানে তৈরি ফিশিং ইমেলের উপর নির্ভর করে যা ক্ষতিকারক ISO ডিস্ক ইমেজ সংযুক্তির মাধ্যমে ফ্যান্টম স্টিলার ম্যালওয়্যার বিতরণ করে। প্রচারণাটি ঐতিহ্যবাহী ইমেল সুরক্ষা নিয়ন্ত্রণগুলিকে এড়িয়ে কম সাধারণ সংযুক্তি ফর্ম্যাটের দিকে ক্রমাগত পরিবর্তনের উপর আলোকপাত করে।
সুচিপত্র
প্রাথমিক লক্ষ্যমাত্রা এবং সেক্টর ফোকাস
আক্রমণকারীরা স্পষ্টতই এমন প্রতিষ্ঠানগুলিকে অগ্রাধিকার দিয়েছে যারা নিয়মিতভাবে আর্থিক লেনদেন এবং সংবেদনশীল ডকুমেন্টেশন পরিচালনা করে। অর্থ ও হিসাব বিভাগগুলিই মূল লক্ষ্য বলে মনে হচ্ছে, অন্যদিকে ক্রয়, আইনি এবং বেতনভিত্তিক দলগুলিকেও বারবার লক্ষ্যবস্তু করা হয়েছে। পেমেন্ট ওয়ার্কফ্লো, শংসাপত্র এবং গোপনীয় আর্থিক তথ্যে তাদের অ্যাক্সেসের কারণে এই ভূমিকাগুলি হুমকিদাতাদের কাছে বিশেষভাবে আকর্ষণীয়।
প্রতারণামূলক ইমেল প্রলোভন এবং প্রাথমিক ডেলিভারি
সংক্রমণ প্রক্রিয়াটি বৈধ আর্থিক চিঠিপত্রের অনুরূপ ফিশিং বার্তা দিয়ে শুরু হয়। ভুক্তভোগীদের সাম্প্রতিক ব্যাংক স্থানান্তর যাচাই বা নিশ্চিত করতে বলা হয়, যা জরুরিতা এবং বিশ্বাসযোগ্যতার অনুভূতি তৈরি করে। প্রতিটি বার্তায় একটি জিপ আর্কাইভ থাকে যা সহায়ক ডকুমেন্টেশন হিসাবে উপস্থাপন করা হয়। ক্ষতিকারক ফাইল ধারণ করার পরিবর্তে, আর্কাইভটি একটি ক্ষতিকারক ISO ইমেজ লুকিয়ে রাখে যা খোলার সময় ভার্চুয়াল সিডি ড্রাইভ হিসাবে নিজেকে মাউন্ট করে।
ম্যালওয়্যার এক্সিকিউশনের জন্য ISO ইমেজের অপব্যবহার
'Pодтверждение банковского перевода.iso' অথবা 'ব্যাংক ট্রান্সফার কনফার্মেশন.iso' শিরোনামের মাউন্ট করা ISO ফাইলটি প্রধান কার্যকরী বাহন হিসেবে কাজ করে। ছবির ভেতরে CreativeAI.dll নামে একটি ক্ষতিকারক ডায়নামিক লিঙ্ক লাইব্রেরি রয়েছে, যা ফ্যান্টম স্টিলার চালু করার জন্য স্বয়ংক্রিয়ভাবে আহ্বান করা হয়। এই কৌশলটি আক্রমণকারীদের ম্যালওয়্যার চালানোর অনুমতি দেয় এবং একই সাথে ঐতিহ্যবাহী এক্সিকিউটেবল ফাইলগুলির উপর নির্ভরতা হ্রাস করে যা ব্লক হওয়ার সম্ভাবনা বেশি।
ফ্যান্টম স্টিলার ম্যালওয়্যারের ক্ষমতা
একবার মোতায়েন করার পর, ফ্যান্টম স্টিলার সংক্রামিত সিস্টেম থেকে বিস্তৃত পরিসরের সংবেদনশীল তথ্য সংগ্রহের উপর দৃষ্টি নিবদ্ধ করে। এর কার্যকারিতার মধ্যে রয়েছে:
ক্রোমিয়াম-ভিত্তিক ব্রাউজারগুলিতে ক্রিপ্টোকারেন্সি ওয়ালেট ব্রাউজার এক্সটেনশন এবং স্বতন্ত্র ডেস্কটপ ওয়ালেট অ্যাপ্লিকেশন থেকে ডেটা বের করা, ব্রাউজারের পাসওয়ার্ড, কুকিজ, সংরক্ষিত ক্রেডিট কার্ড ডেটা, ডিসকর্ড প্রমাণীকরণ টোকেন এবং নির্বাচিত স্থানীয় ফাইল চুরি করা।
ভার্চুয়াল মেশিন, স্যান্ডবক্স, বা বিশ্লেষণ সরঞ্জাম সনাক্ত করার জন্য ক্লিপবোর্ড কার্যকলাপ পর্যবেক্ষণ, কীস্ট্রোক লগ করা এবং পরিবেশ পরীক্ষা করা, যদি এই ধরনের অবস্থা সনাক্ত করা হয় তবে এটি নিজেই বন্ধ হয়ে যায়।
এক্সফিল্ট্রেশন এবং কমান্ড চ্যানেল
চুরি করা তথ্য নির্ভরযোগ্যতা এবং নমনীয়তা নিশ্চিত করার জন্য একাধিক আক্রমণকারী-নিয়ন্ত্রিত চ্যানেলের মাধ্যমে প্রেরণ করা হয়। ফ্যান্টম স্টিলার আক্রমণকারীদের নিয়ন্ত্রণে থাকা টেলিগ্রাম বট বা ডিসকর্ড ওয়েবহুকের মাধ্যমে তথ্য অপসারণের জন্য কনফিগার করা হয়েছে। এছাড়াও, ম্যালওয়্যারটি একটি বহিরাগত FTP সার্ভারে সরাসরি ফাইল স্থানান্তর সমর্থন করে, যা বাল্ক ডেটা চুরি এবং ফলো-আপ অপারেশনগুলিকে সক্ষম করে।
