Lummastealer সংক্রমণ বৃদ্ধি লক্ষ্য করা গেছে, সামাজিক ইঞ্জিনিয়ারিং প্রচারাভিযানের দ্বারা চালিত যা CastleLoader ম্যালওয়্যার বিতরণ করার জন্য ClickFix প্রযুক্তির ব্যবহার করে।
LummaStealer, যা LummaC2 নামেও পরিচিত, একটি ম্যালওয়্যার-এ-সার্ভিস (MaaS) প্ল্যাটফর্ম হিসাবে চলমান একটি ইনফোস্টিলার অপারেশন যা 2025 সালের মে মাসে ব্যাহত হয়েছিল যখন একাধিক প্রযুক্তি সংস্থা এবং আইন প্রয়োগকারী কর্মকর্তারা 2,300টি ডোমেন এবং কেন্দ্রীয় কমান্ড কাঠামো দূষিত পরিষেবাকে সমর্থন করে।
ইনফোস্টেলিং ম্যালওয়্যার বিভিন্ন ধরনের সংবেদনশীল ডেটাকে লক্ষ্য করে যা ওয়েব ব্রাউজারে সঞ্চিত শংসাপত্র এবং কুকি, ক্রিপ্টোকারেন্সি ওয়ালেটের বিবরণ এবং নথি, সেশন কুকি, প্রমাণীকরণ টোকেন, VPN কনফিগারেশন এবং অ্যাকাউন্ট ডেটা পর্যন্ত হতে পারে।
যদিও আইন প্রয়োগকারী অপারেশনগুলি Lummastealer কার্যকলাপকে মারাত্মকভাবে ব্যাহত করেছিল, MAS অপারেশনগুলি জুলাই 2025 এ পুনরায় শুরু হয়েছিল।
সাইবারসিকিউরিটি কোম্পানি বিটডিফেন্ডারের একটি নতুন প্রতিবেদন সতর্ক করে যে লুমাস্টিলারের অপারেশনগুলি ডিসেম্বর 2025 এবং জানুয়ারী 2026 এর মধ্যে উল্লেখযোগ্যভাবে প্রসারিত হয়েছে, এটি এখন ক্যাসললোডার নামে একটি ম্যালওয়্যার লোডারের মাধ্যমে বিতরণ করা হচ্ছে এবং এটি ক্রমবর্ধমান ক্লিকফিক্স কৌশলগুলির উপর নির্ভর করছে।
“এই ধরনের অনেক প্রচারণার মূলে রয়েছে CastleLoader, যা Lummastealerকে ডেলিভারি চেইনের মাধ্যমে ছড়িয়ে দিতে সাহায্য করতে কেন্দ্রীয় ভূমিকা পালন করে। এর মডুলার, ইন-মেমরি এক্সিকিউশন মডেল, ব্যাপক অস্পষ্টতা, এবং নমনীয় কমান্ড-এন্ড-কন্ট্রোল যোগাযোগ এটিকে এই স্কেলের ম্যালওয়্যার বিতরণের জন্য উপযুক্ত করে তোলে,” বিটডেফেন্ডার বলেন।
CastleLoader 2025 সালের গোড়ার দিকে আবির্ভূত হয় এবং ক্লিকফিক্স সহ বিভিন্ন পদ্ধতির মাধ্যমে ইনফোস্টেলার এবং রিমোট এক্সেস ট্রোজান (স্টিল্ক, রেডলাইন, র্যাডাম্যানথাস, মনস্টারভি2, ক্যাসলর্যাট, সেক্টোপ্রেট, নেটসাপোর্ট র্যাট, ওয়ার্মকুকি) এর বেশ কয়েকটি পরিবার বিতরণ করছে।
ম্যালওয়্যার লোডার হল একটি অত্যন্ত অস্পষ্ট স্ক্রিপ্ট-ভিত্তিক (অটোআইটি বা পাইথন) ম্যালওয়্যার লোডার যা লুমাস্টেলার পেলোডকে সম্পূর্ণরূপে মেমরিতে ডিক্রিপ্ট করে, লোড করে এবং কার্যকর করে৷
এটি ভেরিয়েবল এবং ফাংশনগুলির অভিধান-ভিত্তিক নামকরণ, রানটাইমে ডিকোড করা এনকোড করা স্ট্রিং, প্রচুর পরিমাণে জাঙ্ক কোড এবং মৃত শাখা, এবং তুচ্ছ ফলাফলের সমাধান করে এমন গাণিতিক এবং লজিক অপারেশন সহ বেশ কয়েকটি অস্পষ্ট স্তর নিয়োগ করে।
সূত্র: বিটডিফেন্ডার
LummaStealer কার্যকর করার আগে, CastleLoader এটি বিশ্লেষণ করা হচ্ছে কিনা তা নির্ধারণ করতে পরিবেশ এবং স্যান্ডবক্স পরীক্ষা করে এবং হোস্টে কী সুরক্ষা পণ্য সনাক্ত করা হয়েছে তার উপর ভিত্তি করে ফাইল পাথ এবং স্থায়ী অবস্থানগুলি সামঞ্জস্য করে।
দূষিত অটোআইটি স্ক্রিপ্টকে একটি অধ্যবসায়ের পথে অনুলিপি করে, দোভাষীকে একটি ভিন্ন স্থানে অনুলিপি করে এবং স্টার্টআপে একটি ইন্টারনেট শর্টকাট ফাইল তৈরি করে যা একটি যুক্তি হিসাবে স্ক্রিপ্টের সাথে দোভাষী চালু করে।
Bitdefender আবিষ্কার করেছে যে CastleLoader ইচ্ছাকৃতভাবে একটি অস্তিত্ত্বহীন ডোমেনের জন্য একটি ব্যর্থ DNS সন্ধান শুরু করেছে, যার ফলে একটি DNS ব্যর্থ হয়েছে৷ সাইবারসিকিউরিটি কোম্পানি বলেছে যে এই নেটওয়ার্ক আচরণের আর্টিফ্যাক্টগুলি কেসলোডার কার্যকলাপ সনাক্ত করতে ব্যবহার করা যেতে পারে।
নভেম্বরে একটি প্রতিবেদনে, রেকর্ডেড ফিউচারের ইনসেক্ট গ্রুপের গবেষকরা উল্লেখ করেছেন যে ক্যাসলেলোডারের অবকাঠামোর একটি ডোমেন লুমাস্ট্যালারের জন্য কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভার হিসাবে কাজ করে, যা দুটি অপারেশনের মধ্যে একটি প্রাথমিক সংযোগ নির্দেশ করে।
বর্তমানে, LummaStealer একাধিক চ্যানেলের মাধ্যমে বিতরণ করা হয়, যার মধ্যে রয়েছে ট্রোজানাইজড সফ্টওয়্যার ইনস্টলার, নকল সাইট বা টরেন্ট থেকে ডাউনলোড করা পাইরেটেড সফ্টওয়্যার এবং বিশ্বের বিভিন্ন দেশকে লক্ষ্য করে প্রচারাভিযানে জাল মিডিয়া বা গেম সংগ্রহ।
সূত্র: বিটডিফেন্ডার
গবেষকদের মতে, ClickFix হল “LummaStealer প্রচারাভিযানে অত্যন্ত কার্যকর সংক্রমণ ভেক্টর।” ব্যবহারকারীদের ক্লিপবোর্ডে ইতিমধ্যেই যোগ করা দূষিত পাওয়ারশেল কমান্ডগুলি চালানোর জন্য বিস্তারিত নির্দেশাবলী সহ নকল ক্যাপচা বা যাচাইকরণ পৃষ্ঠা দেওয়া হয়।
কমান্ডটি শেষ পর্যন্ত আক্রমণকারীর সার্ভার থেকে একটি দূষিত স্ক্রিপ্ট পুনরুদ্ধার করে এবং স্থানীয় মেশিনে এটি কার্যকর করে। এইভাবে বিতরণ করা পেলোড ছিল Castleloader, যা কিছু ক্ষেত্রে Lummastealer তথ্য চুরিকারী ম্যালওয়্যার নিয়ে আসে এবং কার্যকর করে।
এই হুমকির বিরুদ্ধে সুরক্ষার জন্য, বিটডিফেন্ডার গবেষকরা ব্যবহারকারীদের অবিশ্বস্ত বা অনানুষ্ঠানিক উত্স থেকে সফ্টওয়্যার বা মিডিয়া (বিশেষত যদি ফাইলটিতে .EXE এক্সটেনশন থাকে) ডাউনলোড এবং চালানো এড়াতে পরামর্শ দেন।
এছাড়াও, একটি ওয়েবসাইটের যাচাইকরণ প্রক্রিয়ার অংশ হিসাবে Powershell বা কমান্ড-লাইন ইউটিলিটিগুলিতে যে কমান্ডগুলি আপনি বোঝেন না তা কার্যকর করা ক্ষতিকারক কার্যকলাপের জন্য একটি লাল পতাকা।
সাধারণ পরামর্শ হল পাইরেটেড সফ্টওয়্যার থেকে দূরে থাকা (যেমন, ক্র্যাক, “আনলক” টুল) এবং বিজ্ঞাপন ব্লকার ব্যবহার করে Google অনুসন্ধানে প্রচারিত ফলাফলগুলি লুকিয়ে রাখা৷
আধুনিক আইটি অবকাঠামো ম্যানুয়াল ওয়ার্কফ্লোগুলির চেয়ে দ্রুত চলে।
এই নতুন Tynes গাইডে, শিখুন কিভাবে আপনার দল লুকানো ম্যানুয়াল বিলম্ব কমাতে পারে, স্বয়ংক্রিয় প্রতিক্রিয়ার মাধ্যমে নির্ভরযোগ্যতা উন্নত করতে পারে এবং আপনি ইতিমধ্যেই যে সরঞ্জামগুলি ব্যবহার করছেন তার উপরে বুদ্ধিমান ওয়ার্কফ্লোগুলি তৈরি এবং স্কেল করতে পারে৷
