সাইবার সুরক্ষা বিশেষজ্ঞরা নতুন এক ধরনের সাইবার হুমকির ব্যাপারে সতর্ক করেছেন। ‘গিটহাব’ সফটওয়্যারে হোস্ট করা ভুয়া ভিপিএন সফটওয়্যারের মাধ্যমে এ আক্রমণ চালানো হচ্ছে।
সিওয়াইফার্মার এক প্রতিবেদন বলছে, ম্যালওয়্যারটি নিজেকে ‘ফ্রি ভিপিএন ফর পিসি’ হিসেবে পরিচয় দেয়, যেন ব্যবহারকারীরা এটিকে নির্দ্বিধায় ডাউনলোড করে। কিন্তু বাস্তবে এটি একটি অত্যাধুনিক ড্রপার, যা কম্পিউটারে ‘লুমা স্টিলার’ নামের ডাটা চুরি করা প্রোগ্রাম ঢুকিয়ে দেয়।
এই একই ম্যালওয়্যার ‘মাইক্র্যাফট স্কিন চেঞ্জার’ নামেও পাওয়া গিয়েছে। এটি গেইমার এবং বিনামূল্যে টুল খুঁজে বেড়ানো সাধারণ ব্যবহারকারীদের লক্ষ্য করছে বলে প্রতিবেদনে লিখেছে টেকরেডার।
একবার ব্যবহার শুরু করলে, ড্রপারটি একাধিক ধাপে আক্রমণ করে, যার মধ্যে রয়েছে কোড গোপন, ডায়নামিক ডিএলএল লোডিং, মেমোরি ইনজেকশন, এবং উইন্ডোজের বৈধ টুল যেমন এমএসবিল্ড ডট ইএক্সই ও কমান্ড লাইন টুল আস্পনেট_রেজিস ডট ইএক্সই-এর অপব্যবহার।
এসব কৌশলের মাধ্যমে ম্যালওয়্যারটি নিজেকে গোপন রাখতে এবং দীর্ঘ সময় কার্যকর থাকতে পারে।
এধরনের আক্রমণ সফল হওয়ার মূল কারণ ‘গিটহাব’ ব্যবহার করে ম্যালওয়্যার ছড়ানো। ‘github[.]com/SAMAIOEC’ নামের একটি রিপোজিটরিতে পাসওয়ার্ড-প্রটেক্টেড জিপ ফাইল ও বিস্তারিত ব্যবহারের নির্দেশনা রাখা ছিল, যে কারণে সফটওয়্যারটিকে বৈধ ও নির্ভরযোগ্য বলে মনে হয়েছে।
এই জিপ ফাইলের ভেতরে থাকা মূল পে-লোডটি ফরাসি ভাষায় লেখা টেক্সট দিয়ে গোপন করা এবং বেজ৬৪ ফরম্যাটে এনকোড করা।
সিওয়াইফার্মার মতে, “একটি প্রতারণামূলক ফ্রি ভিপিএন ডাউনলোড দিয়ে যা শুরু হয়, তা শেষ হয় মেমোরিতে ইনজেক্ট করা লুমা স্টিলারের মাধ্যমে, সিস্টেমের বিশ্বাসযোগ্য প্রসেস ব্যবহার করে কার্যক্রম চালায়।”
সফটওয়্যারটি চালু হলে, লঞ্চ ডট ইএক্সই নামের একটি ফাইল অত্যন্ত সূক্ষ্ম এক্সট্রাকশন প্রক্রিয়া শুরু করে। এটি বেজ৬৪ এনকোড করা স্ট্রিং ডিকোড করে এবং কিছু পরিবর্তন করে ব্যবহারকারীর ‘অ্যাপডেটা’ ফোল্ডারে একটি ডিএলএল ফাইল ড্রপ করে। এই ডিএলএল ফাইলটি লুকানো থাকে এবং রানটাইমে ডায়নামিকভাবে লোড হয়। এটি ‘গেটগেইমডেটা’ নামে একটি ফাংশন চালু করে, যা মূল পে-লোডের শেষ ধাপ সক্রিয় করে।
এমন সাইবার আক্রমণ থেকে রক্ষা পেতে
এ ধরনের সাইবার আক্রমণ থেকে রক্ষা পেতে হলে ব্যবহারকারীদের অবশ্যই অননুমোদিত সফটওয়্যার ব্যবহার এড়িয়ে যাওয়া উচিত। বিশেষ করে যেসব সফটওয়্যারকে ‘ফ্রি ভিপিএন’ বা ‘গেইম মোড’ হিসেবে দেখানো হয়।
যখন কোনো অজানা প্রোগ্রাম রিপোজিটরি থেকে চালানো হয়, তখন ঝুঁকি অনেক গুণ বেড়ে যায় এমনকি সেটা পরিচিত ও জনপ্রিয় প্ল্যাটফর্ম থেকে নেওয়া হলেও।
গিটহাব বা এ ধরনের প্ল্যাটফর্ম থেকে ডাউনলোডকৃত ফাইল কখনোই স্বয়ংক্রিয়ভাবে নিরাপদ ধরে নেওয়া উচিত নয়, বিশেষ করে যদি সেগুলো পাসওয়ার্ড-প্রোটেক্টেড জিপ ফাইল হয় অথবা ইনস্টল করার প্রক্রিয়া অস্পষ্ট বা জটিল হয়।
নির্ভর করা যায় না এমন জায়গা থেকে ব্যবহারকারীদের কখনোই কোনও ফাইল চালানো উচিত নয়, এবার তা যত দরকারি মনে হোক না কেন।
সুরক্ষিত থাকতে একটি কার্যকর পদক্ষেপ হল অ্যাপডেটা ও এ ধরনের ফোল্ডার থেকে ‘এক্সিকিউটেবল’ ফাইল চালানো বন্ধ করে দেওয়া কারণ আক্রমণকারীরা প্রায়ই এসব জায়গায় ক্ষতিকর পে-লোড লুকিয়ে রাখে।
কম্পিউটারে অস্বাভাবিক ফাইল কার্যক্রমের দিকে নজর রাখুন এবং টাস্ক ম্যানেজার বা অন্যান্য সিস্টেম টুলের মাধ্যমে এমএমবিল্ড ডট ইএক্সই ও এ ধরনের প্রসেসগুলোর উপর কড়া নজর দিন যেন শুরুতেই সংক্রমণ ঠেকানো যায়।
প্রযুক্তিগত দিক থেকে, শুধু সাধারণ অ্যান্টিভাইরাস স্ক্যানের উপর নির্ভর না করে এমন অ্যান্টিভাইরাস ব্যবহার করুন যেগুলো ব্যবহারভিত্তিক শনাক্ত করে।
এর পাশাপাশি ব্যবহার করুন ডিডিওএস সুরক্ষা ও এন্ডপয়েন্ট প্রটেকশন যা মেমরি ইনজেকশন, গোপন প্রক্রিয়া তৈরি এবং এপিআই অপব্যবহারসহ আরও অন্যান্য হুমকি শনাক্ত ও ঠেকাতে পারে।
