Cybersecurity গবেষকরা সম্প্রতি একটি নতুন ম্যালওয়্যার ক্যাম্পেইন সম্পর্কে তথ্য প্রকাশ করেছেন, যেখানে PureCrypter নামের ম্যালওয়্যার লোডার ব্যবহার করে DarkVision RAT নামে একটি রিমোট অ্যাক্সেস ট্রোজান (RAT) ছড়ানো হচ্ছে।
এই কার্যকলাপটি ২০২৪ সালের জুলাই মাসে Zscaler ThreatLabz দ্বারা পর্যবেক্ষণ করা হয়, যেখানে বহু-পর্যায়ে র্যাটের পে-লোড সরবরাহ করা হয়।
নিরাপত্তা গবেষক Muhammed Irfan V A-এর বিশ্লেষণে বলা হয়েছে, “DarkVision RAT তার কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভারের সাথে সল্ট নেটওয়ার্ক প্রোটোকল ব্যবহার করে যোগাযোগ করে।“ এই র্যাটে রয়েছে বিভিন্ন ধরণের কমান্ড এবং প্লাগইন যা কী-লগিং, দূরবর্তী প্রবেশ, পাসওয়ার্ড চুরি, অডিও রেকর্ডিং এবং স্ক্রিন ক্যাপচারসহ নানা ধরণের অতিরিক্ত কার্যক্ষমতা সক্ষম করে।
PureCrypter, যা ২০২২ সালে প্রথম প্রকাশ্যে আসে, একটি সহজলভ্য ম্যালওয়্যার লোডার যা সাবস্ক্রিপশন ভিত্তিতে বিক্রি হয়। এটি ব্যবহারকারীদের তথ্য চুরি, র্যাট এবং র্যানসমওয়্যার ছড়ানোর সুযোগ দেয়। PureCrypter এবং এর মাধ্যমে DarkVision RAT বিতরণের জন্য ব্যবহৃত সঠিক প্রাথমিক অ্যাক্সেস ভেক্টরটি এখনও পরিষ্কার নয়। তবে এটি এমন একটি .NET executable চালানোর পথ তৈরি করে যা Donut Loader নামের ওপেন-সোর্স লোডারকে ডিক্রিপ্ট ও চালু করার দায়িত্বে থাকে।
Donut Loader প্রথমে PureCrypter লোড করে, যা পরে DarkVision-কে আনপ্যাক ও লোড করে। এই সময়ে এটি Microsoft Defender Antivirus-এর এক্সক্লুশন লিস্টে র্যাটের ফাইল পথ এবং প্রসেস নাম যোগ করে এবং ধ্রুবক উপস্থিতি নিশ্চিত করতে সময়সূচি নির্ধারণ করা টাস্ক তৈরি করে।
DarkVision RAT, প্রথম যে ২০২০ সালে দেখা গিয়েছিল, একটি clearnet সাইটে মাত্র ৬০ ডলারে একবারের পেমেন্টে বিক্রি হয়। এটি সাইবার অপরাধীদের জন্য একটি আকর্ষণীয় বিকল্প, বিশেষ করে তাদের জন্য যাদের প্রযুক্তিগত দক্ষতা খুব বেশি নয় কিন্তু তারা নিজস্ব আক্রমণ চালাতে আগ্রহী।
এই র্যাটটি C++ এবং ASM (অ্যাসেম্বলি) দিয়ে তৈরি যা “সর্বোচ্চ পারফরম্যান্স (optimal performance)” নিশ্চিত করতে ডিজাইন করা হয়েছে। এতে প্রসেস ইঞ্জেকশন, রিমোট শেল, রিভার্স প্রক্সি, ক্লিপবোর্ড ম্যানিপুলেশন, কী-লগিং, স্ক্রিনশট ক্যাপচার এবং ওয়েব ব্রাউজার থেকে কুকি এবং পাসওয়ার্ড পুনরুদ্ধারের মতো অনেক ফিচার রয়েছে। এছাড়াও, এটি সিস্টেমের তথ্য সংগ্রহ করতে এবং C2 সার্ভার থেকে অতিরিক্ত প্লাগইন গ্রহণ করতে পারে, যা এটিকে আরও কার্যকরী করে তোলে এবং সংক্রমিত উইন্ডোজ সিস্টেমের ওপর পূর্ণ নিয়ন্ত্রণ দেয়।
Zscaler এর ভাষ্যমতে, “DarkVision RAT সাইবার অপরাধীদের জন্য একটি শক্তিশালী এবং বহুমুখী টুল হিসেবে দাঁড়িয়েছে, যার মাধ্যমে কী-লগিং, স্ক্রিন ক্যাপচার, পাসওয়ার্ড চুরি থেকে শুরু করে remote execution পর্যন্ত নানান ক্ষতিকর কার্যক্রম পরিচালনা করা যায়।” এর বহুমুখী কার্যক্ষমতা এবং স্বল্পমূল্যের কারণে এটি আক্রমণকারীদের মধ্যে ক্রমেই জনপ্রিয় হয়ে উঠছে।”
তথ্যসূত্র: The Hacker News, Security Boulevard, Zscaler ThreatLabz
