paint-brush
ম্যাকওএস-এ পারমাণবিক চুরির ট্র্যাকিং: লেজারলাইভ অ্যাপ প্রতিস্থাপনকারী অত্যাধুনিক ম্যালওয়্যারদ্বারা@moonlock
2,855 পড়া
2,855 পড়া

ম্যাকওএস-এ পারমাণবিক চুরির ট্র্যাকিং: লেজারলাইভ অ্যাপ প্রতিস্থাপনকারী অত্যাধুনিক ম্যালওয়্যার

দ্বারা Moonlock (by MacPaw)4m2024/08/24
Read on Terminal Reader

অতিদীর্ঘ; পড়তে

অ্যাটমিক স্টিলারের নতুন কৌশলের মধ্যে রয়েছে ব্যবহারকারীর খেয়াল না করেই বৈধ লেজারলাইভ অ্যাপটিকে একটি দূষিত ক্লোন দিয়ে প্রতিস্থাপন করা। ম্যালওয়্যারটি একটি ফিশিং টুল ব্যবহার করে ব্যবহারকারীদের সংবেদনশীল তথ্য ছেড়ে দেওয়ার জন্য প্রতারণা করে। এটি তারপর কমান্ড এবং কন্ট্রোল সার্ভারে ডেটা প্রেরণ করে এবং অন্যান্য সার্ভারে পাঠায়।
featured image - ম্যাকওএস-এ পারমাণবিক চুরির ট্র্যাকিং: লেজারলাইভ অ্যাপ প্রতিস্থাপনকারী অত্যাধুনিক ম্যালওয়্যার
Moonlock (by MacPaw) HackerNoon profile picture

লেখক: আর্টেম চুমাক, ম্যালওয়্যার রিসার্চ ইঞ্জিনিয়ার মুনলক-এর ম্যাকপা

ভূমিকা

আমাদের মধ্যে মুনলক ল্যাব , আমরা ঘনিষ্ঠভাবে পরমাণু চুরির বিবর্তন নিরীক্ষণ করা হয়েছে. এই ম্যালওয়্যারটি এর দ্রুত বিকাশ এবং এটি যে পরিশীলিত বৈশিষ্ট্যগুলি নিযুক্ত করে তার কারণে আমাদের মনোযোগ আকর্ষণ করেছে৷ একটি বিশেষ বৈশিষ্ট্য, যা আমরা পূর্বে আমাদের হাইলাইট করেছি এক্স (টুইটার) পোস্ট , একটি দূষিত ক্লোন দিয়ে বৈধ লেজারলাইভ অ্যাপ প্রতিস্থাপন করার উন্নত ক্ষমতার জন্য আলাদা। এই নিবন্ধে, আমরা এই বৈশিষ্ট্য এবং এর প্রভাবগুলির গভীরে অনুসন্ধান করি।

পর্যবেক্ষণ এবং বিশ্লেষণ

আমাদের দল ক্রমাগত ডার্কনেট ফোরাম এবং হুমকি অভিনেতাদের দ্বারা ব্যবহৃত টেলিগ্রাম চ্যানেলগুলি পর্যবেক্ষণ করে। এই ক্রিয়াকলাপটি ব্যবহারকারীদের মধ্যে ছড়িয়ে পড়ার আগে আমাদের সর্বশেষ বিকাশ এবং কৌশল সম্পর্কে অবগত থাকতে দেয়। এই চ্যানেলগুলিতে অনুপ্রবেশ করে, আমরা সাইবার হুমকির সাম্প্রতিক আপডেটগুলিতে রিয়েল-টাইম অন্তর্দৃষ্টি লাভ করি।


তথ্যের একটি বড় উৎস হল টেলিগ্রাম চ্যানেল যা AMOS চুরিকারীর পিছনে গ্রুপ দ্বারা পরিচালিত। এই চ্যানেলটি কেবল বিক্রয়ের সুবিধা দেয় না ম্যালওয়্যার কিন্তু এর উন্নয়ন এবং স্থাপনার আপডেটও প্রদান করে। এই চ্যানেলের মধ্যে আলোচনা ট্র্যাক করে, আমরা এর বিবর্তন নথিভুক্ত করতে সক্ষম হয়েছি পারমাণবিক চুরিকারী এবং এর গতিশীলতা বুঝতে পারে।

চিত্র 1. অপারেটরের টেলিগ্রামের কারণে AMOS বিবর্তনের সময়রেখা

প্রকৃতপক্ষে, অপারেটরের নিয়মিত পোস্টগুলি ভবিষ্যতের উন্নয়ন এবং কৌশলগুলির অন্তর্দৃষ্টি দেয়, যা আমাদের সম্ভাব্য পরিবর্তনগুলি অনুমান করতে দেয়৷ উপরন্তু, আমরা পারমাণবিক চুরির নির্দিষ্ট সংস্করণের খরচ সম্পর্কে শিখেছি।

চিত্র 2. AMOS টেলিগ্রাম চ্যানেলের স্ক্রিনশট যেখানে চুরিকারীকে $3,000 এ বিক্রি করা হচ্ছে (রাশিয়ান থেকে অনুবাদ করা হয়েছে)


একদিন, AMOS অপারেটরের টেলিগ্রাম চ্যানেল পর্যবেক্ষণ করার সময়, আমরা একটি নতুন কার্যকারিতা হাইলাইট করে একটি বিজ্ঞাপন দেখতে পেলাম। এই নতুন বৈশিষ্ট্যটিতে ব্যবহারকারীর খেয়াল না করেই লেজারলাইভ অ্যাপটিকে একটি দূষিত ক্লোন দিয়ে প্রতিস্থাপন করা জড়িত। তদ্ব্যতীত, অ্যাপ্লিকেশনটির সাথে সমস্ত ব্যবহারকারীর ক্রিয়াকলাপ - যেমন খোলা, বন্ধ করা, বীজ বাক্যাংশে প্রবেশ করা এবং বীজ বাক্যাংশ পাঠানো - পর্যবেক্ষণের উদ্দেশ্যে বট দ্বারা তৈরি একটি পৃথক টেলিগ্রাম চ্যানেলে লগ ইন করা হয়।


এই কার্যকারিতা স্থিতিশীল ট্রাফিক সহ নিয়মিত গ্রাহকদের জন্য ডিজাইন করা একটি অনন্য মডিউল হিসাবে দেওয়া হয়। মডিউল নিজেই বিনামূল্যে, কিন্তু অপারেটররা সংগৃহীত প্রতিটি বীজ বাক্যাংশের ভারসাম্যের জন্য 30% ফি নেয়।

চিত্র 3. সাইবার অপরাধীর টেলিগ্রাম চ্যানেল থেকে বিজ্ঞাপন

লেজারলাইভ অ্যাপের সংক্রমণ চেইন

আমরা বিশেষভাবে আগ্রহী ছিলাম এবং তাই, অ্যাটমিক স্টিলারের এই সংস্করণটি পেয়েছি এবং বিশ্লেষণ করেছি যা প্রাথমিকভাবে লেজারলাইভ অ্যাপকে লক্ষ্য করে। LedgerLive হল ক্রিপ্টোকারেন্সি ওয়ালেটগুলি পরিচালনা করার জন্য একটি বহুল ব্যবহৃত অ্যাপ্লিকেশন, ব্যবহারকারীদের তাদের ডিজিটাল সম্পদগুলি পরিচালনা করার জন্য একটি নিরাপদ এবং সুবিধাজনক উপায় প্রদান করে। ফলস্বরূপ, এর জনপ্রিয়তা এবং এটি পরিচালনা করা সম্পদের উচ্চ মূল্যের কারণে, এটি সাইবার অপরাধীদের জন্য একটি লাভজনক লক্ষ্য হয়ে উঠেছে।

চিত্র 4. লেজার লাইভ ক্রিপ্টো ওয়ালেট অ্যাপের মূল পৃষ্ঠা

আসুন সংক্রমণ প্রক্রিয়া পরীক্ষা করা যাক, যা সাধারণত শুরু হয় যখন একজন ব্যবহারকারী CrackInstall.dmg ছদ্মবেশে একটি দূষিত ইনস্টলার ডাউনলোড করে। এই আপাতদৃষ্টিতে নিরীহ ফাইলটির ভিতরে রয়েছে Mach-O স্টিলার, ম্যালওয়্যারের একটি টুকরো যা একবার খোলার পরে নিঃশব্দে চালানোর জন্য ডিজাইন করা হয়েছে।


প্রতিপক্ষরা প্রায়ই ভিজ্যুয়াল নির্দেশনা প্রদান করে যাতে ভিকটিমদের গেটকিপারকে বাইপাস করে সাহায্য করে। নির্দেশাবলী ব্যবহারকারীদেরকে CrackInstall ফাইলে রাইট-ক্লিক করতে এবং নিরাপত্তা পরিমাপ ঠেকাতে "ওপেন" নির্বাচন করতে নির্দেশ করে।

চিত্র 5. CrackInstall.dmg এর প্রতারণামূলক ইনস্টলেশন উইন্ডো

কার্যকর করার পরে, চুরিকারী অবিলম্বে কাজ করে, লেজারলাইভ অ্যাপের মূল উপাদানগুলি প্রতিস্থাপন করে।

চিত্র 6. ক্ষতিকারক Mach-o ফাইল থেকে কন্টেন্ট বের করা হয়েছে।
বিশেষত, এটি অ্যাপ.tsx, PairMyNano.tsx এবং ProtectDiscoverBody.tsx-এর মতো ফাইলগুলিকে লক্ষ্য করে, সেগুলিকে ক্ষতিকারক সংস্করণ দিয়ে প্রতিস্থাপন করে৷ এই প্রক্রিয়াটি কার্যকরভাবে আসল লেজারলাইভ অ্যাপের একটি ক্লোন তৈরি করে। দূষিত ক্লোনটি বৈধ অ্যাপের চেহারা এবং কার্যকারিতা অনুকরণ করার জন্য ডিজাইন করা হয়েছে, যা ব্যবহারকারীদের জন্য আপস সনাক্ত করা কঠিন করে তোলে।

চিত্র 7. লেজারলাইভ অ্যাপের সংক্রমণ চেইন

মূল বৈশিষ্ট্য

বীজ বাক্যাংশের জন্য ফিশিং

সংক্রামিত লেজারলাইভ অ্যাপের একটি গুরুত্বপূর্ণ বৈশিষ্ট্য হল ফিশিং উইন্ডো প্রদর্শন করার ক্ষমতা। এই উইন্ডোটি ব্যবহারকারীদের তাদের বীজ বাক্যাংশ, ক্রিপ্টোকারেন্সি ওয়ালেট পুনরুদ্ধার করতে ব্যবহৃত শব্দের একটি সেট প্রবেশ করতে অনুরোধ করে। অ্যাপটি একটি বিভ্রান্তিকর বার্তা প্রদান করে যাতে নিরাপত্তার একটি ভুল ধারণা তৈরি হয়, ব্যবহারকারীদের তাদের সংবেদনশীল তথ্য প্রকাশ করতে উৎসাহিত করে।

ফিশিং বার্তা:

“আপনার গোপন বাক্যাংশটি হল শব্দগুলির গোপন তালিকা যা আপনি ব্যাক আপ করেছিলেন যখন আপনি প্রথম আপনার ওয়ালেট সেট আপ করেছিলেন৷ লেজার আপনার পুনরুদ্ধার বাক্যাংশের একটি অনুলিপি রাখে না।"

চিত্র 8. বীজ বাক্যাংশের জন্য ফিশিংয়ের একটি স্নিপেট

কমান্ড এবং কন্ট্রোল সার্ভারে ডেটা ট্রান্সমিশন

বীজ বাক্যাংশগুলি ক্যাপচার করার পরে, ম্যালওয়্যারটি কমান্ড অ্যান্ড কন্ট্রোল (C2) সার্ভারকে ডিঅফসকেট করে এবং http://159[.]65[.]193[.]64:8080/statistics-এ ডেটা প্রেরণ করে। এই প্রাথমিক সার্ভারটি সংবেদনশীল তথ্য পায়, যা আক্রমণকারীরা কাজে লাগাতে পারে।

চিত্র 9. একটি C2 সার্ভারে ভিক্টিমের ডেটা প্রেরণের একটি স্নিপেট

অতিরিক্তভাবে, ম্যালওয়্যার ব্যবহারকারীর তথ্য এবং এক্সিকিউশন স্ট্যাটাস অন্য দুটি সার্ভারে পাঠায়: http://77[.]221[.]151[.]29:8080/statistics_v2 এবং http://77[.]221[.]151 [.]29:8080/পরিসংখ্যান_v5. ডেটা এক্সফিল্ট্রেশনের এই বহু-স্তরযুক্ত পদ্ধতিটি নিশ্চিত করে যে আক্রমণকারীরা সংক্রামিত সিস্টেম সম্পর্কে ব্যাপক তথ্য পায়।

চিত্র 10. একটি C2 সার্ভারে এক্সিকিউশন স্ট্যাটাস প্রেরণের একটি স্নিপেট।

উপসংহার

আমাদের অ্যাটমিক স্টিলারের বিশ্লেষণ, বিশেষ করে লেজারলাইভ অ্যাপকে লক্ষ্য করে প্রতিস্থাপন করার ক্ষমতা, এর উন্নত ক্ষমতা প্রকাশ করেছে। লেজারলাইভ ক্লোন আসল অ্যাপের অনুকরণ করে, ব্যবহারকারীদের জন্য আপস সনাক্ত করা কঠিন করে তোলে। সমস্ত ব্যবহারকারীর মিথস্ক্রিয়া লগ ইন করে, আক্রমণকারীরা সংবেদনশীল তথ্য ক্যাপচার করতে পারে, যেমন বীজ বাক্যাংশ, যা ক্রিপ্টোকারেন্সি ওয়ালেট অ্যাক্সেস করার জন্য অত্যন্ত গুরুত্বপূর্ণ।


নিজেকে রক্ষা করার জন্য, সর্বদা অফিসিয়াল উত্স থেকে সফ্টওয়্যার ডাউনলোড করুন, সন্দেহজনক লিঙ্কগুলিতে ক্লিক করা এড়িয়ে চলুন এবং এই ধরনের হুমকি সনাক্ত এবং ব্লক করতে মুনলক ইঞ্জিন সহ CleanMyMac X এর মতো শক্তিশালী সুরক্ষা সরঞ্জামগুলি ব্যবহার করুন৷

আইওসি

সংক্রামিত এবং আসল লেজারলাইভ অ্যাপের পার্থক্য: GitHub সারাংশ

304145c8c242644a7aa866383bdac3c169f944ea8c6656b663c223da1359fbb9

SHA256

DMGCrackInstall

0822cf5c34341d124164b1c89889dedc405034e40fd0c8a219859a2561a289ee

SHA256

মাক-ও

5c9e197c4e7752e6a15fc9077fa41dc78ac5a737ae73a01ddb6b6fc6aadd1f1c

SHA256

ক্ষতিকারক লেজারলাইভ অ্যাপ কম্পোনেন্ট অ্যাপ.tsx

8c23db010886261cb27a5fbaa45502586f4031cc60bda3a8df778d94a3335888

SHA256

ক্ষতিকারক লেজারলাইভ অ্যাপ কম্পোনেন্টPairMyNano.tsx

9d5bcbdc139561951256a43cc05dda3e18da99ffd200975bbf0732e90a97c710

SHA256

ক্ষতিকারক লেজারলাইভ অ্যাপ কম্পোনেন্টপ্রোটেক্টডিসকভারবডি.tsx

1e86fd2688e7d0086e243194504318c125a5a7c8a1ef6f42bf39bd90deba793b

SHA256

ক্ষতিকারক লেজারলাইভ অ্যাপ Componentapp.asar