ম্যাকওএস-এ পারমাণবিক চুরির ট্র্যাকিং: লেজারলাইভ অ্যাপ প্রতিস্থাপনকারী অত্যাধুনিক ম্যালওয়্যার

লেখক: আর্টেম চুমাক, ম্যালওয়্যার রিসার্চ ইঞ্জিনিয়ার মুনলক-এর ম্যাকপা

ভূমিকা

আমাদের মধ্যে মুনলক ল্যাব , আমরা ঘনিষ্ঠভাবে পরমাণু চুরির বিবর্তন নিরীক্ষণ করা হয়েছে. এই ম্যালওয়্যারটি এর দ্রুত বিকাশ এবং এটি যে পরিশীলিত বৈশিষ্ট্যগুলি নিযুক্ত করে তার কারণে আমাদের মনোযোগ আকর্ষণ করেছে৷ একটি বিশেষ বৈশিষ্ট্য, যা আমরা পূর্বে আমাদের হাইলাইট করেছি এক্স (টুইটার) পোস্ট , একটি দূষিত ক্লোন দিয়ে বৈধ লেজারলাইভ অ্যাপ প্রতিস্থাপন করার উন্নত ক্ষমতার জন্য আলাদা। এই নিবন্ধে, আমরা এই বৈশিষ্ট্য এবং এর প্রভাবগুলির গভীরে অনুসন্ধান করি।

পর্যবেক্ষণ এবং বিশ্লেষণ

আমাদের দল ক্রমাগত ডার্কনেট ফোরাম এবং হুমকি অভিনেতাদের দ্বারা ব্যবহৃত টেলিগ্রাম চ্যানেলগুলি পর্যবেক্ষণ করে। এই ক্রিয়াকলাপটি ব্যবহারকারীদের মধ্যে ছড়িয়ে পড়ার আগে আমাদের সর্বশেষ বিকাশ এবং কৌশল সম্পর্কে অবগত থাকতে দেয়। এই চ্যানেলগুলিতে অনুপ্রবেশ করে, আমরা সাইবার হুমকির সাম্প্রতিক আপডেটগুলিতে রিয়েল-টাইম অন্তর্দৃষ্টি লাভ করি।

তথ্যের একটি বড় উৎস হল টেলিগ্রাম চ্যানেল যা AMOS চুরিকারীর পিছনে গ্রুপ দ্বারা পরিচালিত। এই চ্যানেলটি কেবল বিক্রয়ের সুবিধা দেয় না ম্যালওয়্যার কিন্তু এর উন্নয়ন এবং স্থাপনার আপডেটও প্রদান করে। এই চ্যানেলের মধ্যে আলোচনা ট্র্যাক করে, আমরা এর বিবর্তন নথিভুক্ত করতে সক্ষম হয়েছি পারমাণবিক চুরিকারী এবং এর গতিশীলতা বুঝতে পারে।

প্রকৃতপক্ষে, অপারেটরের নিয়মিত পোস্টগুলি ভবিষ্যতের উন্নয়ন এবং কৌশলগুলির অন্তর্দৃষ্টি দেয়, যা আমাদের সম্ভাব্য পরিবর্তনগুলি অনুমান করতে দেয়৷ উপরন্তু, আমরা পারমাণবিক চুরির নির্দিষ্ট সংস্করণের খরচ সম্পর্কে শিখেছি।

একদিন, AMOS অপারেটরের টেলিগ্রাম চ্যানেল পর্যবেক্ষণ করার সময়, আমরা একটি নতুন কার্যকারিতা হাইলাইট করে একটি বিজ্ঞাপন দেখতে পেলাম। এই নতুন বৈশিষ্ট্যটিতে ব্যবহারকারীর খেয়াল না করেই লেজারলাইভ অ্যাপটিকে একটি দূষিত ক্লোন দিয়ে প্রতিস্থাপন করা জড়িত। তদ্ব্যতীত, অ্যাপ্লিকেশনটির সাথে সমস্ত ব্যবহারকারীর ক্রিয়াকলাপ - যেমন খোলা, বন্ধ করা, বীজ বাক্যাংশে প্রবেশ করা এবং বীজ বাক্যাংশ পাঠানো - পর্যবেক্ষণের উদ্দেশ্যে বট দ্বারা তৈরি একটি পৃথক টেলিগ্রাম চ্যানেলে লগ ইন করা হয়।

এই কার্যকারিতা স্থিতিশীল ট্রাফিক সহ নিয়মিত গ্রাহকদের জন্য ডিজাইন করা একটি অনন্য মডিউল হিসাবে দেওয়া হয়। মডিউল নিজেই বিনামূল্যে, কিন্তু অপারেটররা সংগৃহীত প্রতিটি বীজ বাক্যাংশের ভারসাম্যের জন্য 30% ফি নেয়।

লেজারলাইভ অ্যাপের সংক্রমণ চেইন

আমরা বিশেষভাবে আগ্রহী ছিলাম এবং তাই, অ্যাটমিক স্টিলারের এই সংস্করণটি পেয়েছি এবং বিশ্লেষণ করেছি যা প্রাথমিকভাবে লেজারলাইভ অ্যাপকে লক্ষ্য করে। LedgerLive হল ক্রিপ্টোকারেন্সি ওয়ালেটগুলি পরিচালনা করার জন্য একটি বহুল ব্যবহৃত অ্যাপ্লিকেশন, ব্যবহারকারীদের তাদের ডিজিটাল সম্পদগুলি পরিচালনা করার জন্য একটি নিরাপদ এবং সুবিধাজনক উপায় প্রদান করে। ফলস্বরূপ, এর জনপ্রিয়তা এবং এটি পরিচালনা করা সম্পদের উচ্চ মূল্যের কারণে, এটি সাইবার অপরাধীদের জন্য একটি লাভজনক লক্ষ্য হয়ে উঠেছে।

আসুন সংক্রমণ প্রক্রিয়া পরীক্ষা করা যাক, যা সাধারণত শুরু হয় যখন একজন ব্যবহারকারী CrackInstall.dmg ছদ্মবেশে একটি দূষিত ইনস্টলার ডাউনলোড করে। এই আপাতদৃষ্টিতে নিরীহ ফাইলটির ভিতরে রয়েছে Mach-O স্টিলার, ম্যালওয়্যারের একটি টুকরো যা একবার খোলার পরে নিঃশব্দে চালানোর জন্য ডিজাইন করা হয়েছে।

প্রতিপক্ষরা প্রায়ই ভিজ্যুয়াল নির্দেশনা প্রদান করে যাতে ভিকটিমদের গেটকিপারকে বাইপাস করে সাহায্য করে। নির্দেশাবলী ব্যবহারকারীদেরকে CrackInstall ফাইলে রাইট-ক্লিক করতে এবং নিরাপত্তা পরিমাপ ঠেকাতে "ওপেন" নির্বাচন করতে নির্দেশ করে।

কার্যকর করার পরে, চুরিকারী অবিলম্বে কাজ করে, লেজারলাইভ অ্যাপের মূল উপাদানগুলি প্রতিস্থাপন করে।

বিশেষত, এটি অ্যাপ.tsx, PairMyNano.tsx এবং ProtectDiscoverBody.tsx-এর মতো ফাইলগুলিকে লক্ষ্য করে, সেগুলিকে ক্ষতিকারক সংস্করণ দিয়ে প্রতিস্থাপন করে৷ এই প্রক্রিয়াটি কার্যকরভাবে আসল লেজারলাইভ অ্যাপের একটি ক্লোন তৈরি করে। দূষিত ক্লোনটি বৈধ অ্যাপের চেহারা এবং কার্যকারিতা অনুকরণ করার জন্য ডিজাইন করা হয়েছে, যা ব্যবহারকারীদের জন্য আপস সনাক্ত করা কঠিন করে তোলে।

মূল বৈশিষ্ট্য

বীজ বাক্যাংশের জন্য ফিশিং

সংক্রামিত লেজারলাইভ অ্যাপের একটি গুরুত্বপূর্ণ বৈশিষ্ট্য হল ফিশিং উইন্ডো প্রদর্শন করার ক্ষমতা। এই উইন্ডোটি ব্যবহারকারীদের তাদের বীজ বাক্যাংশ, ক্রিপ্টোকারেন্সি ওয়ালেট পুনরুদ্ধার করতে ব্যবহৃত শব্দের একটি সেট প্রবেশ করতে অনুরোধ করে। অ্যাপটি একটি বিভ্রান্তিকর বার্তা প্রদান করে যাতে নিরাপত্তার একটি ভুল ধারণা তৈরি হয়, ব্যবহারকারীদের তাদের সংবেদনশীল তথ্য প্রকাশ করতে উৎসাহিত করে।

ফিশিং বার্তা:

“আপনার গোপন বাক্যাংশটি হল শব্দগুলির গোপন তালিকা যা আপনি ব্যাক আপ করেছিলেন যখন আপনি প্রথম আপনার ওয়ালেট সেট আপ করেছিলেন৷ লেজার আপনার পুনরুদ্ধার বাক্যাংশের একটি অনুলিপি রাখে না।"

কমান্ড এবং কন্ট্রোল সার্ভারে ডেটা ট্রান্সমিশন

বীজ বাক্যাংশগুলি ক্যাপচার করার পরে, ম্যালওয়্যারটি কমান্ড অ্যান্ড কন্ট্রোল (C2) সার্ভারকে ডিঅফসকেট করে এবং http://159[.]65[.]193[.]64:8080/statistics-এ ডেটা প্রেরণ করে। এই প্রাথমিক সার্ভারটি সংবেদনশীল তথ্য পায়, যা আক্রমণকারীরা কাজে লাগাতে পারে।

অতিরিক্তভাবে, ম্যালওয়্যার ব্যবহারকারীর তথ্য এবং এক্সিকিউশন স্ট্যাটাস অন্য দুটি সার্ভারে পাঠায়: http://77[.]221[.]151[.]29:8080/statistics_v2 এবং http://77[.]221[.]151 [.]29:8080/পরিসংখ্যান_v5. ডেটা এক্সফিল্ট্রেশনের এই বহু-স্তরযুক্ত পদ্ধতিটি নিশ্চিত করে যে আক্রমণকারীরা সংক্রামিত সিস্টেম সম্পর্কে ব্যাপক তথ্য পায়।

উপসংহার

আমাদের অ্যাটমিক স্টিলারের বিশ্লেষণ, বিশেষ করে লেজারলাইভ অ্যাপকে লক্ষ্য করে প্রতিস্থাপন করার ক্ষমতা, এর উন্নত ক্ষমতা প্রকাশ করেছে। লেজারলাইভ ক্লোন আসল অ্যাপের অনুকরণ করে, ব্যবহারকারীদের জন্য আপস সনাক্ত করা কঠিন করে তোলে। সমস্ত ব্যবহারকারীর মিথস্ক্রিয়া লগ ইন করে, আক্রমণকারীরা সংবেদনশীল তথ্য ক্যাপচার করতে পারে, যেমন বীজ বাক্যাংশ, যা ক্রিপ্টোকারেন্সি ওয়ালেট অ্যাক্সেস করার জন্য অত্যন্ত গুরুত্বপূর্ণ।

নিজেকে রক্ষা করার জন্য, সর্বদা অফিসিয়াল উত্স থেকে সফ্টওয়্যার ডাউনলোড করুন, সন্দেহজনক লিঙ্কগুলিতে ক্লিক করা এড়িয়ে চলুন এবং এই ধরনের হুমকি সনাক্ত এবং ব্লক করতে মুনলক ইঞ্জিন সহ CleanMyMac X এর মতো শক্তিশালী সুরক্ষা সরঞ্জামগুলি ব্যবহার করুন৷

আইওসি

সংক্রামিত এবং আসল লেজারলাইভ অ্যাপের পার্থক্য: GitHub সারাংশ