উত্তর কোরিয়া-সমর্থিত হ্যাকারদের কাছে আপনার Gmail পড়ার একটি চতুর উপায় রয়েছে৷

উত্তর কোরিয়া-সমর্থিত হ্যাকারদের কাছে আপনার Gmail পড়ার একটি চতুর উপায় রয়েছে৷

গেটি ইমেজ

গবেষকরা আগে কখনও দেখা যায়নি এমন ম্যালওয়্যার আবিষ্কার করেছেন যা উত্তর কোরিয়ার হ্যাকাররা সংক্রামিত ব্যবহারকারীদের জিমেইল এবং এওএল অ্যাকাউন্ট থেকে ইমেল এবং সংযুক্তিগুলি গোপনে পড়তে এবং ডাউনলোড করতে ব্যবহার করছে।

নিরাপত্তা সংস্থা ভলেক্সিটির গবেষকদের দ্বারা SHARPEXT ডাব করা ম্যালওয়্যারটি ক্রোম এবং এজ ব্রাউজারগুলির জন্য একটি ব্রাউজার এক্সটেনশন ইনস্টল করার জন্য চতুর উপায় ব্যবহার করে, ভলেক্সিটি একটি ব্লগ পোস্টে রিপোর্ট করেছে। এক্সটেনশনটি ইমেল পরিষেবাগুলির দ্বারা সনাক্ত করা যায় না, এবং যেহেতু ব্রাউজারটি ইতিমধ্যেই কোনও মাল্টিফ্যাক্টর প্রমাণীকরণ সুরক্ষা ব্যবহার করে প্রমাণীকরণ করা হয়েছে, তাই এই ক্রমবর্ধমান জনপ্রিয় নিরাপত্তা ব্যবস্থা অ্যাকাউন্ট আপসকে লাগাম টেনে ধরতে কোনও ভূমিকা পালন করে না৷

ম্যালওয়্যারটি “এক বছরেরও বেশি সময় ধরে” ব্যবহার করা হচ্ছে, ভলেক্সিটি বলেছে, এবং এটি একটি হ্যাকিং গ্রুপের কাজ যা কোম্পানি শার্পটং হিসাবে ট্র্যাক করে। গ্রুপটি উত্তর কোরিয়ার সরকার দ্বারা স্পনসর করা হয় এবং অন্যান্য গবেষকদের দ্বারা কিমসুকি হিসাবে ট্র্যাক করা একটি গ্রুপের সাথে ওভারল্যাপ করে। SHARPEXT মার্কিন যুক্তরাষ্ট্র, ইউরোপ এবং দক্ষিণ কোরিয়ার সংস্থাগুলিকে লক্ষ্যবস্তু করছে যারা পারমাণবিক অস্ত্র এবং উত্তর কোরিয়া তার জাতীয় নিরাপত্তার জন্য গুরুত্বপূর্ণ বলে মনে করে অন্যান্য বিষয় নিয়ে কাজ করে৷

ভলেক্সিটির সভাপতি স্টিভেন অ্যাডায়ার একটি ইমেলে বলেছেন যে এক্সটেনশনটি “স্পিয়ার ফিশিং এবং সোশ্যাল ইঞ্জিনিয়ারিংয়ের মাধ্যমে ইনস্টল করা হয় যেখানে শিকারকে একটি দূষিত নথি খোলার জন্য বোকা বানানো হয়৷ পূর্বে আমরা দেখেছি ডিপিআরকে হুমকি অভিনেতারা বর্শা ফিশিং আক্রমণ শুরু করে যেখানে সম্পূর্ণ উদ্দেশ্য ছিল ভিকটিমকে ব্রাউজার এক্সটেনশন ইন্সটল করতে বলুন বনাম এটা একটা পোস্ট এক্সপ্লয়েটেশন মেকানিজম এবং ডেটা চুরির জন্য।” এর বর্তমান অবতারে, ম্যালওয়্যারটি শুধুমাত্র উইন্ডোজে কাজ করে, তবে অ্যাডায়ার বলেছে যে ম্যাকওএস বা লিনাক্সে চলমান ব্রাউজারগুলিকে সংক্রামিত করার জন্য এটিকে প্রসারিত করা যাবে না এমন কোন কারণ নেই।

ব্লগ পোস্টে যোগ করা হয়েছে: “ভোলেক্সিটির নিজস্ব দৃশ্যমানতা দেখায় যে এক্সটেনশনটি বেশ সফল হয়েছে, কারণ ভলেক্সিটি দ্বারা প্রাপ্ত লগগুলি দেখায় যে আক্রমণকারী ম্যালওয়্যার স্থাপনের মাধ্যমে একাধিক শিকারের কাছ থেকে হাজার হাজার ইমেল সফলভাবে চুরি করতে সক্ষম হয়েছিল।”

শেষ-ব্যবহারকারীর নজর না দিয়ে একটি ফিশিং অপারেশন চলাকালীন একটি ব্রাউজার এক্সটেনশন ইনস্টল করা সহজ নয়৷ SHARPEXT বিকাশকারীরা এখানে, এখানে এবং এখানে যা প্রকাশিত হয়েছে তার মতো গবেষণায় স্পষ্টভাবে মনোযোগ দিয়েছেন, যা দেখায় যে কীভাবে Chromium ব্রাউজার ইঞ্জিনে একটি নিরাপত্তা ব্যবস্থা ম্যালওয়্যারকে সংবেদনশীল ব্যবহারকারী সেটিংসে পরিবর্তন করতে বাধা দেয়৷ প্রতিবার একটি বৈধ পরিবর্তন করা হলে, ব্রাউজার কিছু কোডের একটি ক্রিপ্টোগ্রাফিক হ্যাশ নেয়। স্টার্টআপে, ব্রাউজার হ্যাশগুলি যাচাই করে, এবং যদি সেগুলির কোনওটি মেলে না, ব্রাউজারটি পুরানো সেটিংস পুনরুদ্ধার করার অনুরোধ করে৷

আক্রমণকারীদের এই সুরক্ষার জন্য কাজ করার জন্য, তারা প্রথমে যে কম্পিউটার থেকে আপস করছে তা থেকে নিম্নলিখিতগুলি বের করতে হবে:

  • ব্রাউজার থেকে resource.pak ফাইলের একটি অনুলিপি (যাতে Chrome দ্বারা ব্যবহৃত HMAC বীজ রয়েছে)
  • ব্যবহারকারীর S-ID মান
  • ব্যবহারকারীর সিস্টেম থেকে আসল পছন্দ এবং নিরাপদ পছন্দ ফাইল

পছন্দের ফাইলগুলি সংশোধন করার পরে, SHARPEXT স্বয়ংক্রিয়ভাবে এক্সটেনশনটি লোড করে এবং একটি PowerShell স্ক্রিপ্ট চালায় যা DevTools সক্ষম করে, একটি সেটিং যা ব্রাউজারকে কাস্টমাইজড কোড এবং সেটিংস চালানোর অনুমতি দেয়।

“স্ক্রিপ্টটি টার্গেট করা ব্রাউজারগুলির সাথে সম্পর্কিত প্রক্রিয়াগুলির জন্য একটি অসীম লুপ পরীক্ষা করে চলে,” ভলেক্সিটি ব্যাখ্যা করেছে৷ “যদি কোনো লক্ষ্যযুক্ত ব্রাউজার চলমান পাওয়া যায়, স্ক্রিপ্টটি একটি নির্দিষ্ট কীওয়ার্ডের জন্য ট্যাবের শিরোনাম পরীক্ষা করে (উদাহরণস্বরূপ ‘05101190,’ বা ‘ট্যাব+’ SHARPEXT সংস্করণের উপর নির্ভর করে)। নির্দিষ্ট কীওয়ার্ডটি দূষিত দ্বারা শিরোনামে ঢোকানো হয় এক্সটেনশন যখন একটি সক্রিয় ট্যাব পরিবর্তিত হয় বা যখন একটি পৃষ্ঠা লোড হয়।”

অস্থিরতা

পোস্টটি অব্যাহত ছিল:

পাঠানো কীস্ট্রোক এর সমতুল্য Control+Shift+J, DevTools প্যানেল সক্ষম করার শর্টকাট৷ সবশেষে, PowerShell স্ক্রিপ্ট ShowWindow() API ব্যবহার করে নতুন খোলা DevTools উইন্ডো লুকিয়ে রাখে এবং SW_HIDE পতাকা এই প্রক্রিয়ার শেষে, সক্রিয় ট্যাবে DevTools সক্রিয় করা হয়, কিন্তু উইন্ডোটি লুকানো থাকে।

এছাড়াও, এই স্ক্রিপ্টটি যে কোনও উইন্ডো লুকানোর জন্য ব্যবহৃত হয় যা শিকারকে সতর্ক করতে পারে। মাইক্রোসফ্ট এজ, উদাহরণস্বরূপ, যদি এক্সটেনশনগুলি বিকাশকারী মোডে চলমান থাকে তবে পর্যায়ক্রমে ব্যবহারকারীকে একটি সতর্কতা বার্তা প্রদর্শন করে (চিত্র 5)। স্ক্রিপ্ট ক্রমাগত চেক করে যে এই উইন্ডোটি প্রদর্শিত হচ্ছে কিনা এবং এটি ব্যবহার করে লুকিয়ে রাখে ShowWindow() এবং SW_HIDE পতাকা

অস্থিরতা

একবার ইনস্টল হয়ে গেলে, এক্সটেনশন নিম্নলিখিত অনুরোধগুলি সম্পাদন করতে পারে:

HTTP পোস্ট ডেটা বর্ণনা
মোড = তালিকা ডুপ্লিকেট আপলোড করা হয় না তা নিশ্চিত করতে শিকারের কাছ থেকে পূর্বে সংগৃহীত ইমেল তালিকাভুক্ত করুন। SHARPEXT এক্সিকিউট হিসাবে এই তালিকা ক্রমাগত আপডেট করা হয়।
মোড=ডোমেইন ইমেল ডোমেনের তালিকা করুন যার সাথে শিকার আগে যোগাযোগ করেছে। SHARPEXT এক্সিকিউট হিসাবে এই তালিকা ক্রমাগত আপডেট করা হয়।
মোড=কালো ইমেল প্রেরকদের একটি কালো তালিকা সংগ্রহ করুন যা শিকারের কাছ থেকে ইমেল সংগ্রহ করার সময় উপেক্ষা করা উচিত।
mode=newD&d=[data] শিকার দ্বারা দেখা সমস্ত ডোমেনের তালিকায় একটি ডোমেন যুক্ত করুন৷
মোড=সংযুক্ত করুন&নাম=[data]&idx=[data]শরীর=[data] রিমোট সার্ভারে একটি নতুন সংযুক্তি আপলোড করুন৷
মোড=নতুন ও মধ্য=[data]&mbody=[data] দূরবর্তী সার্ভারে Gmail ডেটা আপলোড করুন।
মোড = অ্যাটলিস্ট আক্রমণকারী দ্বারা মন্তব্য; exfiltrated করা একটি সংযুক্তি তালিকা পান.
mode=new_aol&mid=[data]&mbody=[data] দূরবর্তী সার্ভারে AOL ডেটা আপলোড করুন।

SHARPEXT হ্যাকারদের উপেক্ষা করার জন্য ইমেল ঠিকানাগুলির তালিকা তৈরি করতে এবং ইতিমধ্যে চুরি করা ইমেল বা সংযুক্তিগুলির ট্র্যাক রাখার অনুমতি দেয়৷

ভলেক্সিটি এটি বিশ্লেষণ করা বিভিন্ন SHARPEXT উপাদানগুলির অর্কেস্ট্রেশনের নিম্নলিখিত সারাংশ তৈরি করেছে:

অস্থিরতা

ব্লগ পোস্টটি ছবি, ফাইলের নাম এবং অন্যান্য সূচক সরবরাহ করে যা প্রশিক্ষিত ব্যক্তিরা এই ম্যালওয়্যার দ্বারা লক্ষ্য বা সংক্রমিত হয়েছে কিনা তা নির্ধারণ করতে ব্যবহার করতে পারে। কোম্পানি সতর্ক করেছে যে এটি যে হুমকির সম্মুখীন হয়েছে তা সময়ের সাথে বেড়েছে এবং শীঘ্রই যে কোনও সময় চলে যাওয়ার সম্ভাবনা নেই।

“যখন ভলেক্সিটি প্রথম SHARPEXT-এর মুখোমুখি হয়েছিল, তখন মনে হয়েছিল যে এটি প্রাথমিক বিকাশের একটি সরঞ্জাম ছিল যাতে অসংখ্য বাগ রয়েছে, একটি ইঙ্গিত যে টুলটি অপরিণত ছিল,” কোম্পানিটি বলেছে। “সাম্প্রতিক আপডেট এবং চলমান রক্ষণাবেক্ষণ দেখায় যে আক্রমণকারী তার লক্ষ্য অর্জন করছে, এটিকে পরিমার্জন চালিয়ে যাওয়ার মূল্য খুঁজে পাচ্ছে।”