সাত মাসের বিরতির পর আবারও সক্রিয় হয়েছে বহুল আলোচিত ম্যালওয়্যার লোডার ‘গুটলোডার’। আগের মতো এবারও এটি সার্চ ইঞ্জিনের মাধ্যমে ভুয়া ওয়েবসাইট ছড়িয়ে দিয়ে ব্যবহারকারীদের বিভ্রান্ত করছে। এসব ওয়েবসাইট আইনসংক্রান্ত টেমপ্লেট বা চুক্তিপত্রের নমুনা ডাউনলোড করা যায় এমন তথ্য দিয়ে ব্যবহারকারীদের ক্ষতিকর ফাইল ডাউনলোড করতে প্রলুব্ধ করছে। এসব নমুনা ডাউনলোড করতে গিয়ে ব্যবহারকারীর ডিভাইস অজান্তেই ম্যালওয়্যারে আক্রান্ত হচ্ছে।
গুটলোডার মূলত জাভাস্ক্রিপ্ট-ভিত্তিক একধরনের ম্যালওয়্যার লোডার। এটি হ্যাকারদের নিয়ন্ত্রিত বা আক্রান্ত ওয়েবসাইটের মাধ্যমে ছড়ানো হয়। এসব ওয়েবসাইটকে সার্চ ফলাফলের ওপরের দিকে র্যাঙ্ক করতে হ্যাকাররা সার্চ ইঞ্জিন অপটিমাইজেশন (এসইও) ও বিজ্ঞাপনের কৌশল ব্যবহার করে। ব্যবহারকারীরা যখন ‘লিগ্যাল ডকুমেন্ট’ বা ‘অ্যাগ্রিমেন্ট’জাতীয় কি–ওয়ার্ড দিয়ে সার্চ করেন, তখন সহজেই এসব ভুয়া সাইটে প্রবেশ করে প্রতারণার শিকার হন। আগে এসব সাইটে ভুয়া ফোরামের মতো পেজ দেখা যেত। সেখানে নথির নমুনা ডাউনলোডের কথা বলে কিছু পোস্টে ক্ষতিকর ফাইলের লিংক দেওয়া থাকত। পরে গুটলোডার এই কৌশল বদলে আইনসংক্রান্ত টেমপ্লেট সরবরাহকারী ওয়েবসাইটের ছদ্মবেশ নেয়। কেউ ‘গেট ডকুমেন্ট’ বাটনে ক্লিক করলে ওয়েবসাইটটি ব্যবহারকারীর পরিচয় যাচাই করে একটি জিপ ফাইল ডাউনলোড করার নির্দেশ দেয়। এই ফাইলের মধ্যে লুকিয়ে থাকে ক্ষতিকর জাভাস্ক্রিপ্ট (.জেএস) ফাইল। ব্যবহারকারী ফাইলটি চালু করলেই গুটলোডার সক্রিয় হয়। এরপর এটি ডিভাইসে অতিরিক্ত ক্ষতিকর সফটওয়্যার ইনস্টল করে। এর মধ্যে রয়েছে কোবাল্ট স্ট্রাইক, ব্যাকডোর ও বট। এসব টুলের মাধ্যমে হামলাকারীরা করপোরেট নেটওয়ার্কে প্রবেশ করতে পারে। পরবর্তী ধাপে র্যানসমওয়্যার হামলা বা অন্য ধরনের সাইবার আক্রমণের পথ তৈরি করে।
‘গুটলোডার’ ছদ্মনামে পরিচিত এক সাইবার নিরাপত্তা গবেষক দীর্ঘদিন ধরে এই ম্যালওয়্যার কার্যক্রম পর্যবেক্ষণ ও ব্যাহত করার কাজ করছেন। তিনি ইন্টারনেট সেবাদাতা প্রতিষ্ঠান ও হোস্টিং প্ল্যাটফর্মে নিয়মিত অভিযোগ জানিয়ে হামলাকারীদের সার্ভার বন্ধে ভূমিকা রেখেছেন। তাঁর উদ্যোগের পর চলতি বছরের ৩১ মার্চ হঠাৎ করেই গুটলোডারের কার্যক্রম বন্ধ হয়ে যায়।
তবে সম্প্রতি ওই গবেষক ও হান্ট্রেস ল্যাবসের গবেষক আনা ফ্যাম জানিয়েছেন, গুটলোডার আবারও ফিরে এসেছে। নতুন অভিযানে আগের মতোই আইনসংক্রান্ত নথির ছদ্মবেশ ব্যবহার করা হচ্ছে। এক ব্লগ পোস্টে ওই গবেষক লিখেছেন, সাম্প্রতিক অভিযানে অন্তত ১০০টি ওয়েবসাইটে হাজারো কি–ওয়ার্ড ছড়িয়ে পড়েছে। উদ্দেশ্য একটাই। ব্যবহারকারীদের প্রলুব্ধ করে ক্ষতিকর জিপ ফাইল ডাউনলোড করানো, যার ভেতরে থাকা জাভাস্ক্রিপ্ট ফাইল হামলাকারীদের প্রাথমিক প্রবেশাধিকার দেয়। পরে সেটিই র্যানসমওয়্যার হামলার সুযোগ তৈরি করে দেয়। গবেষকদের মতে, গুটলোডারের নতুন সংস্করণে নিরাপত্তা সফটওয়্যার ও বিশ্লেষণ টুলের নজর এড়াতে কয়েকটি জটিল কৌশল ব্যবহার করা হয়েছে। হান্ট্রেস ল্যাবস জানিয়েছে, এখন এসব ওয়েবসাইটে এমন একটি বিশেষ ওয়েব ফন্ট ব্যবহার করা হচ্ছে, যা অক্ষরগুলোর আসল আকৃতি বদলে দেয়। ফলে ওয়েবসাইটের সোর্স কোডে অর্থহীন লেখা দেখা গেলেও ব্রাউজারে তা স্বাভাবিক শব্দ হিসেবে প্রদর্শিত হয়। এর ফলে নিরাপত্তা সফটওয়্যার বা গবেষকদের পক্ষে invoice বা contract–এর মতো কি–ওয়ার্ড শনাক্ত করা কঠিন হয়ে পড়ে। হান্ট্রেসের ব্যাখ্যা অনুযায়ী, এই ফন্ট প্রতিটি অক্ষরের গ্লিফ বা আকৃতি একটির সঙ্গে অন্যটি অদলবদল করে দেয়। যেমন O অক্ষর আসলে F আকৃতির দেখায়, a দেখায় l আর স্পেসকে দেখায় i। ফলে সোর্স কোডে “Oa9Z±h•”লেখা থাকলেও সেটি ব্রাউজারে Florida হিসেবে প্রদর্শিত হয়।
ডিএফআইআর রিপোর্টের গবেষকেরা জানিয়েছেন, গুটলোডার এখন বিকৃত বা ‘ম্যালফর্মড’ জিপ ফাইলের মাধ্যমেও ম্যালওয়্যার ছড়াচ্ছে। গবেষকদের ধারণা, এটি আগের বছরের ‘ফাইল কনক্যাটেনেশন’ কৌশলের উন্নত সংস্করণ হতে পারে। হান্ট্রেসের পর্যবেক্ষণে দেখা গেছে, গুটলোডারের সাম্প্রতিক অভিযানে আক্রান্ত কম্পিউটারে ‘সুপার সকস ৫’ নামের একটি ব্যাকডোর ইনস্টল করা হচ্ছে। এটি এমন একধরনের ম্যালওয়্যার, যার মাধ্যমে হামলাকারীরা দূরবর্তীভাবে আক্রান্ত ডিভাইসে প্রবেশ করে নেটওয়ার্ক নিয়ন্ত্রণে নিতে পারে। এই ব্যাকডোর ‘ভ্যানিলা টেম্পেস্ট’ নামের এক র্যানসমওয়্যার সহযোগী গোষ্ঠীর ব্যবহৃত টুল, যারা ব্ল্যাকক্যাট, কোয়ান্টাম লকার, জেপেলিন ও রাইসিডা নামের র্যানসমওয়্যার অভিযানের সঙ্গে যুক্ত বলে ধারণা করা হয়। হান্ট্রেস জানিয়েছে, সংক্রমণের পর হামলাকারীরা মাত্র ২০ মিনিটের মধ্যেই আক্রান্ত সিস্টেমে অনুসন্ধান চালায় এবং ১৭ ঘণ্টার মধ্যে ডোমেইন কন্ট্রোলার দখল করে নেয়।
সাইবার নিরাপত্তা বিশেষজ্ঞদের পরামর্শ, গুটলোডার আবার সক্রিয় হওয়ায় ব্যক্তি ও প্রতিষ্ঠান উভয়েরই বাড়তি সতর্ক থাকা জরুরি। ইন্টারনেট থেকে কোনো আইনসংক্রান্ত টেমপ্লেট বা চুক্তিপত্র ডাউনলোডের আগে ওয়েবসাইটের বিশ্বাসযোগ্যতা যাচাই করা উচিত। অপরিচিত বা সন্দেহজনক ওয়েবসাইট থেকে কোনো নথি ডাউনলোড করা সাইবার হামলার বড় ঝুঁকি তৈরি করতে পারে।
সূত্র: ব্লিপিং কম্পিউটার