SORVEPOTEL ম্যালওয়্যার
SORVEPOTEL নামে একটি দ্রুতগতির ম্যালওয়্যার প্রচারণা হোয়াটসঅ্যাপের উপর মানুষের আস্থাকে কাজে লাগিয়ে উইন্ডোজ পরিবেশে নিজেদের ছড়িয়ে দিচ্ছে। তথ্য চুরি বা র্যানসমওয়্যারের জন্য তৈরি অনেক আধুনিক আক্রমণের বিপরীতে, এই প্রচারণাটি দ্রুত, বৃহৎ আকারে ছড়িয়ে পড়ার জন্য অপ্টিমাইজ করা হয়েছে - যা এটিকে বিশেষভাবে বিপজ্জনক করে তোলে এন্টারপ্রাইজ প্রেক্ষাপটে যেখানে একটি একক আপোস করা ডেস্কটপ আরও অনেক সংক্রমণের জন্ম দিতে পারে।
সুচিপত্র
SORVEPOTEL কি?
SORVEPOTEL হল একটি স্ব-প্রচারিত Windows ম্যালওয়্যার পরিবার যা সোশ্যাল ইঞ্জিনিয়ারিং এবং WhatsApp এর ডেস্কটপ/ওয়েব সংস্করণ ব্যবহার করে ক্ষতিগ্রস্থ ব্যক্তির পরিচিতি এবং গোষ্ঠীতে ক্ষতিকারক সংযুক্তি বিতরণ করে। এর প্রাথমিক লক্ষ্য দ্রুত প্রচার এবং অ্যাকাউন্টের অপব্যবহার (যার ফলে স্প্যাম এবং অ্যাকাউন্ট নিষিদ্ধ হয়), তাৎক্ষণিক ডেটা এক্সফিল্ট্রেশন বা ফাইল এনক্রিপশন নয়।
কীভাবে ভুক্তভোগীদের প্রলুব্ধ করা হয়
আক্রমণকারীরা শুরু করে কোনও হোয়াটসঅ্যাপ যোগাযোগ থেকে অথবা, কিছু ক্ষেত্রে, আপাতদৃষ্টিতে বৈধ ইমেল দিয়ে। বার্তাটিতে একটি জিপ ফাইল থাকে যা একটি নিরীহ আইটেমের ছদ্মবেশে থাকে (উদাহরণস্বরূপ, একটি রসিদ বা স্বাস্থ্য-অ্যাপ ফাইল)। যদি প্রাপক ডেস্কটপে জিপটি খোলেন, তাহলে সাধারণত নিম্নলিখিত পদক্ষেপগুলি ঘটে:
- ভুক্তভোগীকে প্রতারণা করে আর্কাইভের ভেতরে একটি উইন্ডোজ শর্টকাট (LNK) চালু করা হয়।
- LNK নীরবে একটি PowerShell কমান্ড চালায় যা একটি বহিরাগত হোস্ট থেকে পরবর্তী পর্যায়ের পেলোড ডাউনলোড করে (একটি চিহ্নিত উদাহরণ হল sorvetenopoate.com)।
পুনরুদ্ধার করা পেলোড হল একটি ব্যাচ স্ক্রিপ্ট যা স্থায়িত্ব প্রতিষ্ঠা করে এবং আরও কমান্ড কার্যকর করে।
কার্যকরকরণের বিবরণ এবং স্থায়িত্ব প্রক্রিয়া
একবার ইনস্টল হয়ে গেলে, ব্যাচ স্ক্রিপ্টটি উইন্ডোজ স্টার্টআপ ফোল্ডারে কপি হয়ে যায় যাতে সিস্টেম বুট করার পরে এটি স্বয়ংক্রিয়ভাবে চলে। এটি পাওয়ারশেলকে পরবর্তী নির্দেশাবলীর জন্য বা অতিরিক্ত উপাদান আনার জন্য একটি কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভারের সাথে যোগাযোগ করার জন্যও আহ্বান করে। এই আচরণগুলি ম্যালওয়্যারকে স্থায়ী থাকতে এবং অপারেটরদের কাছ থেকে দূরবর্তী কমান্ড গ্রহণ করতে সক্ষম করে।
প্রচার ইঞ্জিন হিসেবে হোয়াটসঅ্যাপ
SORVEPOTEL এর একটি মূল বৈশিষ্ট্য হল এর WhatsApp-সচেতনতামূলক বিস্তারের রুটিন। যদি ম্যালওয়্যারটি সনাক্ত করে যে WhatsApp ওয়েব (ডেস্কটপ/ওয়েব ক্লায়েন্ট) সংক্রামিত মেশিনে সক্রিয় আছে, তাহলে এটি একই ক্ষতিকারক ZIP এর বিতরণকে স্বয়ংক্রিয়ভাবে করে:
- ঝুঁকিপূর্ণ অ্যাকাউন্টের সাথে সংযুক্ত সমস্ত পরিচিতি, এবং
- অ্যাকাউন্টটি যে সকল গ্রুপের অন্তর্ভুক্ত।
এই স্বয়ংক্রিয় বিতরণের ফলে প্রচুর পরিমাণে বহির্গামী স্প্যাম তৈরি হয়, যা প্রায়শই WhatsApp-এর অপব্যবহার সনাক্তকরণকে ট্রিগার করে এবং অ্যাকাউন্টগুলি স্থগিত বা নিষিদ্ধ করে।
সুযোগ এবং কারা আঘাত পেয়েছে
এখন পর্যন্ত প্রচারণাটি ব্রাজিলে ব্যাপকভাবে কেন্দ্রীভূত: ৪৭৭টি সংক্রমণের মধ্যে ৪৫৭টি সেখান থেকেই শুরু হয়েছিল। লক্ষ্যবস্তু সংস্থাগুলি বিভিন্ন ক্ষেত্রে বিস্তৃত, বিশেষ করে:
- সরকার এবং সরকারি পরিষেবা
- উৎপাদন
- প্রযুক্তি
- শিক্ষা
- নির্মাণ
উল্লেখযোগ্যভাবে, অপারেটররা ব্যাপক ডেটা চুরি বা র্যানসমওয়্যার মোতায়েনের জন্য অর্জিত অ্যাক্সেস ব্যবহার করেছে বলে মনে হয় না; এর লক্ষণীয় ফলাফল হল আক্রমণাত্মক প্রচারণা এবং অ্যাকাউন্টের অপব্যবহার।
পর্যবেক্ষণ করা অতিরিক্ত বিতরণ ভেক্টর
যদিও হোয়াটসঅ্যাপ-ভিত্তিক বার্তাগুলি প্রচারের প্রাথমিক পথ, বিশ্লেষকরা প্রমাণ পেয়েছেন যে আক্রমণকারীরা ইমেলের মাধ্যমে একই ক্ষতিকারক জিপ সংযুক্তিগুলিও বিতরণ করে, কখনও কখনও বিশ্বাসযোগ্যতা বাড়ানোর জন্য দৃশ্যত বৈধ প্রেরকের ঠিকানা ব্যবহার করে।
কেন এই প্রচারণা উল্লেখযোগ্য
SORVEPOTEL এমন একটি প্রবণতার চিত্র তুলে ধরে যেখানে আক্রমণকারীরা ন্যূনতম ব্যবহারকারীর মিথস্ক্রিয়ার মাধ্যমে নাগালের সংখ্যা বৃদ্ধি করার জন্য মূলধারার যোগাযোগ প্ল্যাটফর্মগুলিকে কাজে লাগায়। একটি বিশ্বস্ত যোগাযোগ এবং হোয়াটসঅ্যাপ ওয়েবের সুবিধাকে অস্ত্র হিসেবে ব্যবহার করে, ম্যালওয়্যারটি অত্যাধুনিক ডেটা-চুরি উপাদানের প্রয়োজন ছাড়াই বিভিন্ন প্রতিষ্ঠানে দ্রুত পার্শ্বীয় বিস্তার অর্জন করে।
সমাপনী নোট
SORVEPOTEL আমাদের মনে করিয়ে দেয় যে সোশ্যাল প্ল্যাটফর্মগুলি ম্যালওয়্যারের জন্য আকর্ষণীয় প্রচারের মাধ্যম। দ্রুত সনাক্তকরণ, ব্যবহারকারী শিক্ষা এবং স্ক্রিপ্ট সম্পাদন সীমিত করে এমন নিয়ন্ত্রণ এবং ডেস্কটপে মেসেজিং ক্লায়েন্টদের পর্যবেক্ষণ এই প্রচারণার আক্রমণের পৃষ্ঠকে উল্লেখযোগ্যভাবে হ্রাস করবে।
