পিএনজি ছবিতে লুকানো ম্যালওয়্যার, সাবধান!

মধ্যপ্রাচ্য, দক্ষিণপূর্ব এশিয়া ও দক্ষিণ আফ্রিকার বিভিন্ন সরকারী সংস্থার মতো হাই-প্রোফাইল ভুক্তভোগী শিকারে ‘ব্যস্ত ছিল’ এই ম্যালওয়্যারের হোতা।

প্রযুক্তি ডেস্কবিডিনিউজ টোয়েন্টিফোর ডটকম
Published : 14 Nov 2022, 03:08 PM
Updated : 14 Nov 2022, 03:08 PM

পিএনজি ফাইল ব্যবহার করে তথ্য হাতিয়ে নেওয়া বিভিন্ন নতুন নিরাপত্তা ঝুঁকির প্রমাণ পাওয়ার কথা জানিয়েছেন গবেষকরা।

২০২২ সালের সেপ্টেম্বরের শুরু থেকে ‘উয়োরক’ নামে পরিচিত এক সাইবার অপরাধী চক্রের এই পদ্ধতি ব্যবহারের বিষয়টি নিশ্চিত করেছে অ্যান্টিভাইরাস নির্মাতা এসেট ও অ্যাভাস্ট।

প্রযুক্তিবিষয়ক সাইট টেকরেডারের প্রতিবেদন অনুযায়ী, মধ্যপ্রাচ্য, দক্ষিণ পূর্ব এশিয়া ও দক্ষিণ আফ্রিকার বিভিন্ন সরকারী সংস্থার মতো হাই-প্রোফাইল ভুক্তভোগী শিকারে ‘ব্যস্ত ছিল’ উয়োরক।

একাধিক-ধাপে আক্রমণ

এই আক্রমণ একাধিক ধাপে সংঘটিত হয়, যেখানে ‘সিএলআরলোডার’ নামের ম্যালওয়্যার চালানোর উদ্দেশ্যে ‘ডিএলএল সাইডলোডিং’ পদ্ধতি ব্যবহৃত হয়।

এর ফলে, ‘পিএনজিলোডার’ নামে একটি ‘ডিএলএল’ ফাইল ফরম্যাট লোড হয়, যা পিএনজি ফাইলে লুকিয়ে থাকা কোড পড়তে সক্ষম।

ওই কোড অনুবাদ হয় ‘ড্রপবক্সকন্ট্রোল’-এ, যা একটি কাস্টম ‘ডটনেট সি#’ ধরনের ইনফোস্টিলার (তথ্য চোর)। এ ছাড়া, যোগাযোগ ও ডেটা চুরির উদ্দেশ্যে ড্রপবক্স ফাইল হোস্টিংয়ের অপব্যবহার করে এটি।

টেকরেডারের প্রতিবেদন অনুযায়ী, এই ম্যালওয়্যার সম্ভবত অসংখ্য কমান্ড সমর্থন করে। এগুলোর মধ্যে আছে ‘cmd/c’ চালানো, ‘এক্সিকিউটেবল’ চালু করা, ড্রপবক্স থেকে ডেটা ডাউনলোড ও আপলোড, বিভিন্ন টার্গেট এন্ডপয়েন্ট থেকে ডেটা মোছা, নতুন নির্দেশনা চালু (অতিরিক্ত ব্যাকডোর পেলোডের জন্য) এবং সিস্টেমের তথ্য বের করা।

মূল টুল

গবেষকরা ধারণা প্রকাশ করেছেন, উয়োরক নামের একটি সাইবার অপরাধী দলের তৈরি এই ম্যালওয়্যার, যা গোপনে কাজ করে, শিকারের নেটওয়ার্কে চলাফেরা করতে পছন্দ করে ও স্পর্শকাতর ডেটা চুরি করে। এটি সম্ভবত নিজস্ব টুল ব্যবহার করে। কারণ, অন্য কারও মাধ্যমে গবেষকরা এর ব্যবহার দেখেননি।

টেকক্রাঞ্চের প্রতিবেদন অনুযায়ী, ‘লিস্ট সিগনিফিকেন্ট বিট (এলএসবি)’ নামের এনকোডিং ব্যবহার করে উয়োরক, যা ছবির পিক্সেলের সবচেয়ে কম গুরুত্বপূর্ণ অংশে এইসব আকারে ছোট ক্ষতিকারক কোড স্থাপন করে।

এই ব্যবস্থা ‘স্টেগানোগ্রাফি’ নামে পরিচিত। সাইবার অপরাধের একটি কৌশল হিসেবে এর জনপ্রিয়তা ব্যপক হারে বাড়ছে।

সম্প্রতি পাইথন-ভিত্তিক সফটওয়্যারে তথ্য প্যাকেজ ‘পিওয়াইপিএল’-এ ক্ষতিকারক কোড খুঁজে পেয়েছে সাইবার নিরাপত্তা সেবা ‘চেক পয়েন্ট রিসার্চ’, যা একটি ছবি ব্যবহার করে ‘অ্যাপিকালার’ নামের ট্রোজান ম্যালওয়্যার ছড়ায়। বেশিরভাগ ক্ষেত্রে ‘গিটহাব’কে সরবরাহের পদ্ধতি হিসেবে ব্যবহার করে এটি।

এই প্যাকেজ দেখতে সাধারণ হলেও, এটি ওয়েব থেকে ছবি ডাউনলোডের পর তা প্রসেস করতে কয়েকটি অতিরিক্ত টুল ইনস্টল করে। এর পর ‘এক্সেক’ কমান্ড ব্যবহার করে ‘প্রসেসিং জেনারেটেড আউটপুট’ চালু করে।

তৌফিক ইমরোজ খালিদী
প্রধান সম্পাদক ও প্রকাশক