মাউস আন্দোলনের পিছনে ছদ্মবেশী ম্যালওয়্যার লুকান, বিশেষজ্ঞরা বলছেন যে

নিরাপত্তা বিক্রেতা ফায়ারাইয়ে থেকে গবেষকরা একটি নতুন উন্নত স্থির হুমকি (এপিটি) উন্মোচন করেছেন যা মাউস ক্লিকে নজরদারি সহ একাধিক সনাক্তকরণের কৌশল ব্যবহার করে। সংক্রামিত কম্পিউটারের সাথে সক্রিয় মানবিক মিথষ্ক্রিয়া নির্ধারণ করুন।

বলা হয় Trojan.APT.BaneChant, ম্যালওয়ারটি একটি ওয়ার্ড নোটের মাধ্যমে বিতরণ করা হয় যার সাহায্যে লক্ষ্যযুক্ত ইমেইল আক্রমণের সময় পাঠানো হয়। ডকুমেন্টের নামটি "ইসলামী জিহাদ ডক" বলে অনুবাদ করে।

"আমরা সন্দেহ করি যে মধ্যপ্রাচ্য ও মধ্য এশিয়ায় সরকারকে লক্ষ্যবস্তু করার জন্য এই অস্ত্রোপচার ডকুমেন্টটি ব্যবহার করা হতো," ফায়ারআইই গবেষক চং রং হাওয়া সোমবার একটি ব্লগ পোস্টে বলেছেন।

[আরও পাঠ্য: আপনার উইন্ডোজ পিসি থেকে ম্যালওয়্যার সরাতে কিভাবে]

মাল্টিস্টেজ আক্রমণ

আক্রমণ একাধিক পর্যায়ে কাজ করে দূষিত ডকুমেন্টটি এমন একটি উপাদান ডাউনলোড করে এবং চালায় যা অপারেটিং এনভায়রনমেন্টটি ভার্চুয়ালাইজড এক, অ্যান্টিভাইরাস স্যান্ডবক্স বা স্বয়ংক্রিয় মালওয়্যার বিশ্লেষণ সিস্টেমের মতো, অন্য আক্রমণ পর্যায় শুরু করার আগে কোনও মাউস কার্যকলাপ আছে কিনা দেখার জন্য অপেক্ষা করে।

মাউস ক্লিক পর্যবেক্ষণ একটি নতুন সনাক্তকরণ ঘোড়া কৌশল নয়, কিন্তু অতএব এটি ব্যবহার করে ম্যালওয়ার সাধারণত একটি মাউস ক্লিকের জন্য সাধারণত চেক, Rong Hwa বলেন। একটি ইউআরএল ডিক্রিপ্ট করার আগে এবং বামদিকের প্রোগ্রামটি ডাউনলোড করার আগে বেনিচান্ট কমপক্ষে তিনটি মাউস ক্লিকের জন্য অপেক্ষা করে বলেন যে এটি একটি.jpg ইমেজ ফাইল হিসাবে শনাক্ত করেছে।

ম্যালওয়্যার এছাড়াও অন্যান্য সনাক্তকরণের পরিপন্থী পদ্ধতিগুলি নিয়োগ করে। উদাহরণস্বরূপ, আক্রমণের প্রথম পর্যায়ে, দূষিত ডকুমেন্টটি একটি ow.ly URL থেকে ড্রপার উপাদানটি ডাউনলোড করে। Ow.ly একটি দূষিত ডোমেন নয়, কিন্তু এটি একটি URL শর্টকাট পরিষেবা।

এই পরিষেবাটি ব্যবহার করার পিছনে যুক্তি হল লক্ষ্যযুক্ত কম্পিউটার বা তার নেটওয়ার্কে সক্রিয় ব্ল্যাকলিস্টের URLগুলি বাইপাস করা, রং হাওয় বলেন। (এছাড়াও "স্প্যামারদের অপব্যবহার। গজ ইউআরএল শর্টকার্ট সার্ভিস-এ-হোম স্ক্যামে।" দেখুন

একইভাবে আক্রমণের দ্বিতীয় পর্যায়ে, দূষিত.jpg ফাইলটি কোনও আইপি ডাইনামিক ডোমেন নাম সিস্টেম (ডিএনএস) পরিষেবা।

প্রথম কম্পোনেন্ট দ্বারা লোড হওয়ার পর,.jpg ফাইলটি "গুগলআপডেট.ইক্স" নামক একটি অনুলিপিটি "সি: প্রোগ্রামডাটা গুগল ২" ফোল্ডারে রাখে। এটি একটি লিঙ্ক তৈরি করে ব্যবহারকারীর স্টার্ট-আপ ফোল্ডারে ফাইলটি প্রতি কম্পিউটার রিবুট করার পর এটি কার্যকর করার জন্য।

ব্যবহারকারীরা বিশ্বাস করে যে ফাইলটি Google আপডেট পরিষেবা অংশ, এটি একটি বৈধ প্রোগ্রাম যা সাধারণত ইনস্টল করা হয় "C: Program Files Google Update \" এর অধীনে, রং হাওয়া বলেন।

গোপন প্রোগ্রামটি একটি কমান্ড-ও-কন্ট্রোল সার্ভারে সিস্টেম তথ্য পুনরায় আপলোড করে আপলোড করে। সংক্রামিত কম্পিউটারের অতিরিক্ত ফাইল।

প্রতিরক্ষা প্রযুক্তির অগ্রগতি হিসাবে, ম্যালওয়ারও ই ভোল্ট, রং হাওয়া বলেন। এই দৃষ্টান্তে, ম্যালওয়ারটি অনেক ধরনের কাজে ব্যবহৃত হয়েছে, যার মধ্যে রয়েছে মানবিক আচরণ সনাক্তকরণ, নেটওয়ার্ক-স্তরীয় বাইনারি নিষ্কাশন প্রযুক্তি বিলোপ করা, এক্সিকিউটেবল ফাইলগুলির multihyte XOR এনক্রিপশন সম্পাদন করা, বৈধ প্রক্রিয়া হিসাবে চিহ্নিত করা, ফাইলহীন ব্যবহার করে ফরেনসিক বিশ্লেষণের পরিপন্থী ক্ষতিকর কোডটি সরাসরি মেমরিতে লোড করে এবং URL শর্টকাট এবং গতিশীল DNS পরিষেবার মাধ্যমে পুনঃচালনা ব্যবহার করে স্বয়ংক্রিয় ডোমেন ব্ল্যাকলিস্টিং প্রতিরোধ করে। তিনি বলেন।