এই কার্যক্রমে ফেসবুকের হাজার হাজার ক্ষতিকর বিজ্ঞাপন ব্যবহার করা হচ্ছে, যা সন্দেহাতীত ব্যবহারকারীদের জাল ওয়েবসাইটে পুনর্নির্দেশ করে এবং তাদের নকল অ্যাপ ইনস্টল করতে প্ররোচিত করে। এই বিজ্ঞাপনগুলো হয় চুরি করা অ্যাকাউন্টের মাধ্যমে অথবা নতুন তৈরি অ্যাকাউন্ট থেকে শেয়ার করা হয়।
কোম্পানির বিশ্লেষণে বলা হয়েছে, “অপরাধীরা ইনস্টলারের কার্যকারিতাকে বিভিন্ন উপাদানে বিভক্ত করেছে এবং উল্লেখযোগ্যভাবে, কিছু কার্যকারিতা সংক্রামিত ওয়েবসাইটের জাভাস্ক্রিপ্ট ফাইলগুলোতে স্থানান্তর করেছে। এই মডুলার, বহু-স্তরীয় সংক্রমণ প্রক্রিয়া আক্রমণকারীদের প্রতিটি পর্যায়ে নতুন কৌশল এবং পেলোড অবলম্বন করতে সক্ষম করে।”
উল্লেখ্য, এই কার্যক্রমের কিছু দিক এপ্রিল ২০২৫-এ মাইক্রোসফট এবং এই মাসে উইথসিকিউর দ্বারা নথিভুক্ত করা হয়েছিল, যারা এটিকে WEEVILPROXY নামে ট্র্যাক করছে। ফিনিশ নিরাপত্তা বিক্রেতার মতে, এই প্রচারণা মার্চ ২০২৪ থেকে সক্রিয় রয়েছে।
আক্রমণের ধারাগুলো নতুন ধরনের বিশ্লেষণ-বিরোধী প্রক্রিয়া গ্রহণ করেছে, যা স্ক্রিপ্ট-ভিত্তিক ফিঙ্গারপ্রিন্টিংয়ের উপর নির্ভর করে এবং চূড়ান্ত JSC পেলোড সরবরাহের আগে এটি ব্যবহার করে।
ইসরায়েলি সাইবার নিরাপত্তা কোম্পানি উল্লেখ করেছে, “হ্যাকাররা একটি অনন্য প্রক্রিয়া বাস্তবায়ন করেছে, যা ম্যালওয়্যার সাইট এবং ইনস্টলারের সমান্তরালভাবে চলার উপর নির্ভর করে, যা বিশ্লেষণ এবং সনাক্তকরণ প্রচেষ্টাকে উল্লেখযোগ্যভাবে জটিল করে।”
ফেসবুক বিজ্ঞাপনের লিঙ্কে ক্লিক করলে একটি পুনর্নির্দেশ চেইন শুরু হয়, যা শেষ পর্যন্ত ব্যবহারকারীকে ট্রেডিংভিউ-এর মতো বৈধ সেবার নকল ল্যান্ডিং পেজে নিয়ে যায়, অথবা যদি লক্ষ্যের আইপি ঠিকানা পছন্দসই রেঞ্জের মধ্যে না থাকে বা রেফারার ফেসবুক না হয়, তবে একটি ডিকয় ওয়েবসাইটে নিয়ে যায়।
ওয়েবসাইটটিতে একটি জাভাস্ক্রিপ্ট ফাইল রয়েছে, যা পোর্ট ৩০৩০৩-এ লোকালহোস্ট সার্ভারের সাথে যোগাযোগ করার চেষ্টা করে, এছাড়াও দুটি অন্যান্য জাভাস্ক্রিপ্ট স্ক্রিপ্ট রয়েছে, যা ইনস্টলেশন প্রক্রিয়া ট্র্যাক করতে এবং MSI ইনস্টলারের উপাদানগুলো দ্বারা পরিচালিত POST রিকোয়েস্ট শুরু করতে দায়ী।
ইনস্টলার ফাইলটি সাইট থেকে ডাউনলোড করা হলে বেশ কিছু DLL লাইব্রেরি আনপ্যাক করে, একই সঙ্গে লোকালহোস্ট:৩০৩০৩-এ HTTP লিসেনার শুরু করে জাল সাইট থেকে আসা POST রিকোয়েস্ট প্রক্রিয়া করতে। এই পারস্পরিক নির্ভরতার কারণে, যদি এই উপাদানগুলোর কোনোটি কাজ না করে, তবে সংক্রমণ চেইন আর এগোয় না।
চেক পয়েন্ট বলেছে, “ব্যবহারকারী যাতে অস্বাভাবিক কার্যক্রম সন্দেহ না করে, তাই ইনস্টলারটি msedge_proxy.exe ব্যবহার করে একটি ওয়েবভিউ খোলে, যা ব্যবহারকারীকে অ্যাপ্লিকেশনের বৈধ ওয়েবসাইটে নিয়ে যায়।”
DLL মডিউলগুলো ওয়েবসাইট থেকে POST রিকোয়েস্ট পার্স করতে এবং সিস্টেম তথ্য সংগ্রহ করতে এবং ফিঙ্গারপ্রিন্টিং প্রক্রিয়া শুরু করতে ডিজাইন করা হয়েছে, যার পরে সংগৃহীত তথ্য একটি পাওয়ারশেল ব্যাকডোরের মাধ্যমে JSON ফাইল আকারে আক্রমণকারীর কাছে পাঠানো হয়।
যদি ভিকটিম হোস্ট মূল্যবান বলে বিবেচিত হয়, তবে সংক্রমণ চেইন চূড়ান্ত পর্যায়ে চলে যায়, যেখানে Node.js ব্যবহার করে JSCEAL ম্যালওয়্যার কার্যকর করা হয়।
এই ম্যালওয়্যারটি রিমোট সার্ভারের সাথে সংযোগ স্থাপন করে আরও নির্দেশনা গ্রহণের জন্য এবং একটি লোকাল প্রক্সি সেট আপ করে, যার লক্ষ্য ভিকটিমের ওয়েব ট্রাফিক আটকানো এবং ব্যাঙ্কিং, ক্রিপ্টোকারেন্সি এবং অন্যান্য সংবেদনশীল ওয়েবসাইটে ক্ষতিকর স্ক্রিপ্ট ইনজেক্ট করে রিয়েল-টাইমে শংসাপত্র চুরি করা।
JSCEAL-এর অন্যান্য কার্যকারিতার মধ্যে রয়েছে সিস্টেম তথ্য, ব্রাউজার কুকিজ, অটোফিল পাসওয়ার্ড, টেলিগ্রাম অ্যাকাউন্ট ডেটা, স্ক্রিনশট, কীস্ট্রোক সংগ্রহ, সেইসাথে অ্যাডভারসারি-ইন-দ্য-মিডল (AitM) আক্রমণ পরিচালনা এবং ক্রিপ্টোকারেন্সি ওয়ালেট ম্যানিপুলেশন। এটি একটি রিমোট অ্যাক্সেস ট্রোজান হিসেবেও কাজ করতে পারে।
চেক পয়েন্ট বলেছে, “এই পরিশীলিত ম্যালওয়্যারটি ভিকটিম মেশিনের সম্পূর্ণ নিয়ন্ত্রণ নেওয়ার জন্য ডিজাইন করা হয়েছে, যা প্রচলিত নিরাপত্তা সরঞ্জামের বিরুদ্ধে প্রতিরোধী। কম্পাইলড কোড এবং ভারী ওবফাসকেশনের সমন্বয়, বিভিন্ন কার্যকারিতা প্রদর্শনের সাথে, বিশ্লেষণ প্রচেষ্টাকে চ্যালেঞ্জিং এবং সময়সাপেক্ষ করেছে।”
“JSC ফাইল ব্যবহার আক্রমণকারীদের তাদের কোড সহজে এবং কার্যকরভাবে লুকিয়ে রাখতে দেয়, যা নিরাপত্তা প্রক্রিয়া এড়াতে সাহায্য করে এবং বিশ্লেষণ করা কঠিন করে।”
