ফেসবুকের মেসেজে ছড়িয়ে যাচ্ছে ক্রিপ্টোম্যালওয়ার, হ্যাক হচ্ছে আইডি এবং ডিভাইস!
ফেসবুকে ভিডিও ফাইলের আকারে মেসেজের মাধ্যমে ছড়িয়ে পড়ছে ক্রিপ্টো ম্যালওয়ার। পরিচিত কিংবা অপরিচিত কোন ব্যাক্তির আইডি থেকে পাঠানো এই ফালটি ওপেন করলেই হ্যাক হবে আপনার প্রিয় আইডি। ক্ষতি সাধন হবে আপনার প্রিয় ডিভাইসটির।
এখন পর্যন্ত এরকম দুই ধরনের ম্যালওয়্যার ফাইল নিরাপত্তা বিশ্লেষকরা সনাক্ত করতে পেরেছে , ফাইল দুইটি ভিডিও ফাইল আকারে জিপ করে ছড়িয়ে দেয়া হয়েছে । জিপ ফাইলটি খোলার পর সেখানে ভিডিও ফাইলের আইকন দেখা যায় তবে সেখানে এক্সটেনশন হিসেবে .exe থাকে । মাত্র ৫০০ থেকে ৯০০ কিলোবাইটের মধ্যের এই ফাইলটি শুধুমাত্র আপনার উইন্ডোজ পিসি তে ক্ষতিসাধন করতে পারে ।
তবে অন্য ফাইলটির মাধ্যমে আপনার আইডির বেশ কয়েকটি এক্সেস পেয়ে যাবে হ্যাকাররা, যার ফলে তাদের তৈরি কৃত এই স্ক্রিপটটি আপনার অজান্তেই আপনার পরিচিত সকলকে মেসেজ পাঠিয়ে ফাঁদে ফেলে দিবে।
দুইটি ফাইলের পৃথক বিশ্লেষণঃ
Filename: Video.71656613.mp4.exe
Size: 504KiB (515584 bytes)
Type: PE32 executable (GUI) Intel 80386, for MS Windows, UPX compressed
MD5SUM: 77b99d4cda37ea5d52780cab2c423204
SHA1: 172965c4b9e5d66169b473385d058acc5213d696
SHA256:94d92f5ac3bbda7f6aa545a2888a74eac2644f71ed8319339c9ee651ab82e28e
SSDEEP:TozGdX0M4ornOmZIzfMwHHQmRROXKnpfXtiQ/:T4GHnhIzOan6Q
Compiler/Packer: UPX v1.25 (Delphi) Stub Unpacked
Size: 969KiB (992256 bytes)
Type: PE32 executable (GUI) Intel 80386, for MS Windows
MD5SUM: d63582630abb6d84fab48bcd90ff38f8
SHA1: df1c1eb09408b51d7049f70532cf83927afd5ecc
SHA256: 3771dad8c38def8c8ba903a0e7b203cf05efd99e27add3dea77b9d702a84171f
SSDEEP: bCdOy3vVrKxR5CXbNjAOxK/j2n+4YG/6c1mFFja3mXgcjfJilgsUFccfXwIiQ3:bCdxte/80jYLT3U1jfH5cfr4
জিপ ফাইলটি থেকে বিশ্লেষন করলে আমরা এখানে একটি exe ফাইল পাবো যেখানে অবশ্যই অনেক তথ্যাবলী পাওয়া যেতে পারে।
এটি বিশ্লেষন করলে শুরুতেই এর মধ্যে ম্যালওয়ার এর মতো সন্দেহজনক আচরণ উপলব্ধি করা যায়।
এটি সাধারনত Taskill.exe ফাইল ব্যাবহার করে scanner এবং terminates এর সাহায্য ফাকি দেওয়ার উপায় সনাক্ত করে ভিক্টিমের কম্পিউটার এ উপস্থিতি কার্যকর করে।
যদি আমরা এই প্রক্রিয়াটি চেক করি তাহলে একটি miner.exe খুজে পাবো আর লোকেশন খুজতে গেলে দেখবো এটি updater.exe এর আদেশে PID. 3032 এর সাথে কাজ করছে।
আরো সনাক্ত হয়েছে যে, এটি প্রটোকলেও প্রবেশ করতে সক্ষম হয় “stratum+tcp://” (Indicator: “stratum+tcp://”; File: “network.pcap”)
সুতরাং টেকনিক্যাল ভাবে এই ধরনের ফাইল গুলোই হল cryptomalware।। এটি মূলত ভিক্টিমের মেশিন ব্যাবহার করে এমনকি এটি ভিক্টিমের ব্রাউজার এর গুরুত্বপূর্ণ তথ্য ধ্বংস করতে সক্ষম হয় এমনকি keystrokes ও রেকর্ড করতে সক্ষম হয়।
এই ধরনের maleware এর কার্যক্রম একটু আলাদা। এই ধরনের cryptomalware সাধারণত দুইটি. exe ফাইল ডাউনলোড করে ভিক্টিমের ডিভাইসে প্রবেশ করতে।
২য় ফাইলটির বিশ্লেষনঃ
বিশ্লেষনে বের হয়ে আসে এই ভাইরাসটির পিছনে প্রধান চক্রের পরিচয়।
এই সম্পর্কে "সাইবার ৭১" এর প্রতিষ্ঠাতা এবং এরিনা ওয়েব সিকিউরিটির পরিচালক "তানজিম আল ফাহিম" জানিয়েছেন
এই ম্যালওয়্যার এক্সিকিউট করার ফলে ভিকটিমের কম্পিউটারের গুরুত্বপূর্ন ফিচারগুলো বন্ধ হয়ে যায় এবং অপ্রয়োজনীয় কিছু ফিচার ইন্সটল হয়ে যায় । এটি ইউজার এজেন্ট মাইনার ব্যাবহার করে কম্পিউটার ডিভাইস একাএকা অফ করে দিতে পারে এবং the blue screen of death (BSOD) এনেবল করে দেয়। এবং অপ্রয়োজনীয় ফিচার চালুরেখে ডিভাইস এর তাপমাত্রা বাড়িয়ে দেয়।
ব্রাউজার থেকে গুরুত্বপূর্ন তথ্য নেয়া ও ডিভাইসে ক্রিপ্টোমাইনিং চালুকরে দেয়ার জন্য এটিকে ক্রিপ্টোম্যালওয়্যার বলা হচ্ছে । এই ম্যালওয়্যারের সাথে জড়িত ব্যাক্তির ইমেইল সনাক্ত করা হয়েছে ।
ব্রাউজার থেকে গুরুত্বপূর্ন তথ্য নেয়া ও ডিভাইসে ক্রিপ্টোমাইনিং চালুকরে দেয়ার জন্য এটিকে ক্রিপ্টোম্যালওয়্যার বলা হচ্ছে । এই ম্যালওয়্যারের সাথে জড়িত ব্যাক্তির ইমেইল সনাক্ত করা হয়েছে ।
এই ক্রিপ্টোম্যালওয়্যার নিয়ে প্রধান গবেষনা এবং তথ্য দিয়েছে সাইবার সিকিউরিটি বিষয়ক সংস্থা CSP ।
আমাদের দেশেও ইতিমধ্যে ছড়াতে শুরু করেছে এই ক্রিপ্টো ম্যালওয়ারটি , সতর্কতার জন্য ফেসবুকে মেসেজ কিংবা গ্রুপে পাওয়া লিংক এর এক্সটেনশন গুলো ভালমত খেয়াল করুন , অপ্রয়োজনীয় কোন লিংক বা অপরিচিত কোন লিংক এ ক্লিক করবেন না।
রিপোর্ট তৈরিতে সহায়তাঃ Anika Tabassum, Muktadir Rahman [এরিনা ওয়েব সিকিউরিটি]
