PureRAT Malware

সাইবার নিরাপত্তা গবেষকরা রাশিয়ান সংস্থাগুলিকে লক্ষ্য করে একটি বড় ফিশিং প্রচারণা আবিষ্কার করেছেন, যা PureRAT নামে পরিচিত একটি ব্যাকডোর ম্যালওয়্যার সরবরাহ করে। যদিও প্রচারণাটি ২০২৩ সালের মার্চ মাসে শুরু হয়েছিল, ২০২৫ সালের গোড়ার দিকে এটি নাটকীয়ভাবে বৃদ্ধি পেয়েছিল, যা ২০২৪ সালের একই সময়ের মধ্যে দেখা আক্রমণের সংখ্যা চারগুণ বাড়িয়ে দিয়েছে। যদিও কোনও নির্দিষ্ট হুমকির কারণ চিহ্নিত করা হয়নি, ব্যবহৃত পদ্ধতি এবং ম্যালওয়্যার একটি অত্যন্ত সমন্বিত অপারেশন নির্দেশ করে।

প্রতারণামূলক ডেলিভারি: আক্রমণের শারীরস্থান

আক্রমণটি একটি ফিশিং ইমেল দিয়ে শুরু হয় যার মধ্যে একটি .RAR আর্কাইভ বা একটি ডাউনলোড লিঙ্ক থাকে। বিভ্রান্তিকর দ্বৈত এক্সটেনশন (যেমন, doc_054_[redacted].pdf.rar) দিয়ে ছদ্মবেশে, আর্কাইভটি একটি মাইক্রোসফ্ট ওয়ার্ড বা পিডিএফ ফাইলের ভান করে। ভুক্তভোগী ফাইলটি খোলার পরে, ভিতরে একটি এক্সিকিউটেবল চালু হয়।

এই এক্সিকিউটেবলটি বেশ কয়েকটি গোপন ক্রিয়া সম্পাদন করে:

• task.exe হিসেবে %AppData% তে নিজেকে কপি করে।
• স্থায়িত্বের জন্য Startup ফোল্ডারে একটি Task.vbs স্ক্রিপ্ট তৈরি করে।
• ckcfb.exe বের করে রান করে

পরিবর্তে, ckcfb.exe একটি ডিক্রিপ্টেড মডিউল চালানোর জন্য InstallUtil.exe ব্যবহার করে। এটি Spydgozoi.dll ডিক্রিপ্ট এবং লোড করে, যার মধ্যে প্রাথমিক PureRAT পেলোড থাকে।

রিমোট কন্ট্রোল: PureRAT কী করতে পারে

স্থান দখলের পর, PureRAT একটি কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভারের সাথে একটি এনক্রিপ্টেড সংযোগ স্থাপন করে এবং সিস্টেমের তথ্য রিলে করে। এরপর এটি দূষিত মডিউল গ্রহণ এবং কার্যকর করতে পারে, যেমন:

প্লাগইনপিসিঅপশন

• স্ব-মুছে ফেলা কার্যকর করে
• ম্যালওয়্যার প্রক্রিয়াগুলি পুনরায় চালু করে
• সিস্টেম বন্ধ করে বা রিবুট করে

প্লাগইনউইন্ডোনোটিফাই

• সংবেদনশীল কীওয়ার্ডের (যেমন, পাসওয়ার্ড, ব্যাংক) সক্রিয় উইন্ডোগুলি পর্যবেক্ষণ করে।
• অননুমোদিত তহবিল স্থানান্তরের মতো পদক্ষেপ শুরু করতে পারে

প্লাগইনক্লিপার

• অনুলিপি করা ক্রিপ্টোকারেন্সি ওয়ালেট ঠিকানাগুলিকে আক্রমণকারী-নিয়ন্ত্রিত ঠিকানা দিয়ে প্রতিস্থাপন করে।

অতিরিক্তভাবে, PureRAT আক্রমণকারীদের নিম্নলিখিতগুলি প্রদান করে:

• কীলগিং
• রিমোট ডেস্কটপ নিয়ন্ত্রণ
• ফাইল, রেজিস্ট্রি, ক্যামেরা, মাইক্রোফোন এবং চলমান প্রক্রিয়াগুলিতে অ্যাক্সেস

স্তরযুক্ত সংক্রমণ: কেবল PureRAT-এর চেয়েও বেশি কিছু

প্রাথমিক এক্সিকিউটেবলটি StilKrip.exeও এক্সট্র্যাক্ট করে, যা PureCrypter নামে পরিচিত একটি বাণিজ্যিক ডাউনলোডার যা ২০২২ সাল থেকে প্রচলিত। এই টুলটি Bghwwhmlr.wav নামে একটি সেকেন্ডারি ফাইল ডাউনলোড করে, যা একটি নতুন এক্সিকিউশন চেইন ট্রিগার করে। এই সিকোয়েন্সটি শেষ পর্যন্ত Ttcxxewxtly.exe চালু করে, যার ফলে Bftvbho.dll সক্রিয় হয়, যা PureLogs নামে পরিচিত দ্বিতীয় ম্যালওয়্যার স্ট্রেনের মূল উপাদান।

পিওরলগস একটি শক্তিশালী তথ্য চুরিকারী হিসেবে কাজ করে। একবার সক্রিয় হয়ে গেলে, এটি নীরবে ওয়েব ব্রাউজার, ইমেল ক্লায়েন্ট, ভিপিএন পরিষেবা এবং মেসেজিং অ্যাপ্লিকেশন থেকে শংসাপত্র এবং ব্যবহারকারীর তথ্য সহ বিস্তৃত সংবেদনশীল ডেটা সংগ্রহ করে। এটি পাসওয়ার্ড ম্যানেজার, ক্রিপ্টোকারেন্সি ওয়ালেট অ্যাপ্লিকেশন এবং ফাইলজিলা এবং উইনএসসিপির মতো বহুল ব্যবহৃত ফাইল ট্রান্সফার সরঞ্জামগুলিকেও লক্ষ্য করে, যা আক্রমণকারীদের ব্যক্তিগত এবং সাংগঠনিক উভয় ডেটাতে গভীর অ্যাক্সেস দেয়।

উপসংহার: ইমেল এখনও সবচেয়ে দুর্বল লিঙ্ক

PureRAT এবং PureLogs এর সমন্বয় সাইবার অপরাধীদের গুপ্তচরবৃত্তি, সংগ্রহ এবং ক্ষতিগ্রস্থ সিস্টেম নিয়ন্ত্রণের জন্য ব্যাপক ক্ষমতা প্রদান করে। ক্ষতিকারক সংযুক্তি বা লিঙ্ক সহ ফিশিং ইমেলের চলমান ব্যবহার প্রাথমিক প্রবেশ বিন্দু হিসাবে অব্যাহত রয়েছে, যা সাংগঠনিক সাইবার নিরাপত্তা প্রতিরক্ষায় শক্তিশালী ইমেল ফিল্টারিং এবং ব্যবহারকারী সচেতনতার গুরুত্বপূর্ণ প্রয়োজনীয়তার উপর জোর দেয়।