কম্পিউটার

ম্যাক যখন নতুন সিলভার স্প্যারো ম্যালওয়্যার দ্বারা সংক্রামিত হয় তখন আপনার যা কিছু জানা দরকার

আপনি যদি মনে করেন যে আপনার ম্যাক ম্যালওয়্যার থেকে নিরাপদ, আবার চিন্তা করুন। ম্যালওয়্যার লেখকরা ম্যাকওএস সহ বিভিন্ন প্ল্যাটফর্মের দুর্বলতা কাজে লাগাতে পারদর্শী হয়ে উঠেছে। শ্লেয়ার ম্যালওয়্যার এবং টপ রেজাল্ট ম্যালওয়্যার সহ ম্যাককে টার্গেট করা আগের ম্যালওয়্যার সংক্রমণে এটি স্পষ্ট৷

সিলভার স্প্যারো ম্যাকওএস ম্যালওয়্যার কি?

সম্প্রতি, রেড ক্যানারি, ম্যালওয়্যারবাইটস এবং ভিএমওয়্যার কার্বন ব্ল্যাক নিরাপত্তা গবেষকরা একটি নতুন ম্যাকোস ম্যালওয়্যার আবিষ্কার করেছেন যা বিশ্বব্যাপী 40,000 টিরও বেশি ম্যাককে সংক্রামিত করেছে। এই নতুন হুমকির নাম সিলভার স্প্যারো। ম্যালওয়্যারবাইটসের মতে, ম্যালওয়্যারটি 153টি দেশে ছড়িয়ে পড়েছে, যেখানে মার্কিন যুক্তরাষ্ট্র, যুক্তরাজ্য, কানাডা, ফ্রান্স এবং জার্মানি সর্বাধিক ঘনত্ব সহ। এই 40,000 টির মধ্যে কতগুলি M1 Macs তা স্পষ্ট নয় এবং আমরা ঠিক জানি না যে বিতরণটি কেমন দেখাচ্ছে৷

গবেষকরা উল্লেখ করেছেন যে যদিও সিলভার স্প্যারো সংক্রামিত ডিভাইসের জন্য একটি যুক্তিসঙ্গতভাবে গুরুতর হুমকি সৃষ্টি করে, এটি এমন কোনও দূষিত আচরণ প্রদর্শন করে না যা প্রায়শই সাধারণ macOS অ্যাডওয়্যারের থেকে প্রত্যাশিত হয়। এটি ম্যালওয়্যারটিকে আরও বিস্মিত করে তোলে কারণ নিরাপত্তা বিশেষজ্ঞরা জানেন না যে ম্যালওয়্যারটি কী করার জন্য ডিজাইন করা হয়েছিল৷

যাইহোক, গবেষকরা লক্ষ্য করেছেন যে দূষিত সফ্টওয়্যারটি যে কোনও সময় একটি দূষিত পেলোড সরবরাহ করতে প্রস্তুত রয়েছে। তদন্তের পর, সিলভার স্প্যারো ম্যাকওএস ম্যালওয়্যার স্ট্রেন কখনই সংক্রামিত ডিভাইসগুলিতে ক্ষতিকারক পেলোড দেয়নি, তবে তারা প্রভাবিত ম্যাক ব্যবহারকারীদের সতর্ক করেছে যে এটি এখনও তার সুপ্ত আচরণ সত্ত্বেও উল্লেখযোগ্য ঝুঁকি তৈরি করে৷

যদিও গবেষকরা সিলভার স্প্যারোকে অতিরিক্ত ক্ষতিকারক পেলোড সরবরাহ করতে দেখেননি, তবে এর M1 চিপের সামঞ্জস্যতা, বিশ্বব্যাপী নাগাল, উচ্চ সংক্রমণের হার এবং অপারেশনাল পরিপক্কতা সিলভার স্প্যারোকে যুক্তিসঙ্গতভাবে গুরুতর হুমকি তৈরি করে। নিরাপত্তা বিশেষজ্ঞরা আরও আবিষ্কার করেছেন যে ম্যাক ম্যালওয়্যারটি ইন্টেল এবং অ্যাপল সিলিকন উভয় প্রসেসরের সাথে সামঞ্জস্যপূর্ণ৷

এখানে সিলভার স্প্যারো ম্যালওয়ারের বিবর্তনের একটি মোটামুটি সময়রেখা রয়েছে:

  • আগস্ট 18, 2020:ম্যালওয়্যার সংস্করণ 1 (নন-M1 সংস্করণ) কলব্যাক ডোমেন api.mobiletraits[.]com তৈরি করা হয়েছে
  • আগস্ট 31, 2020:ম্যালওয়্যার সংস্করণ 1 (নন-M1 সংস্করণ) VirusTotal এ জমা দেওয়া হয়েছে
  • সেপ্টেম্বর 2, 2020:VirusTotal-এ জমা দেওয়া ম্যালওয়্যার সংস্করণ 2 কার্যকর করার সময় version.json ফাইল দেখা গেছে
  • ডিসেম্বর 5, 2020:ম্যালওয়্যার সংস্করণ 2 (M1 সংস্করণ) কলব্যাক ডোমেন তৈরি করেছে api.specialattributes[.]com তৈরি করা হয়েছে
  • জানুয়ারি 22, 2021:PKG ফাইলের সংস্করণ 2 (একটি M1 বাইনারি রয়েছে) VirusTotal-এ জমা দেওয়া হয়েছে
  • 26 জানুয়ারী, 2021:রেড ক্যানারি সিলভার স্প্যারো ম্যালওয়্যার সংস্করণ 1 সনাক্ত করেছে
  • ফেব্রুয়ারি 9, 2021:রেড ক্যানারি সিলভার স্প্যারো ম্যালওয়্যার সংস্করণ 2 (M1 সংস্করণ) সনাক্ত করেছে

সিলভার স্প্যারো ম্যালওয়্যার কি করে?

নিরাপত্তা সংস্থা রেড ক্যানারি নতুন ম্যালওয়্যার আবিষ্কার করেছে, যা নতুন M1 প্রসেসরের সাথে সজ্জিত ম্যাককে লক্ষ্য করে। ম্যালওয়্যারটির নাম সিলভার স্প্যারো, এবং কমান্ড চালানোর জন্য ম্যাকোস ইনস্টলার জাভাস্ক্রিপ্ট API ব্যবহার করে। আপনার যা জানা দরকার তা এখানে।

কেউ নিশ্চিতভাবে জানে না। একবার ম্যাক সিলভার স্প্যারো ঘন্টায় একবার একটি সার্ভারের সাথে সংযোগ করে। নিরাপত্তা গবেষকরা উদ্বিগ্ন যে এটি একটি বড় হামলার জন্য প্রস্তুত হতে পারে।

নিরাপত্তা সংস্থা রেড ক্যানারি বিশ্বাস করে যে, যদিও সিলভার স্প্যারো এখনও একটি দূষিত পেলোড সরবরাহ করেছে, এটি একটি মোটামুটি গুরুতর হুমকি হতে পারে৷

ম্যালওয়্যারটি উল্লেখযোগ্য হয়ে উঠেছে কারণ এটি অ্যাপলের M1 চিপে চলে। এটি অগত্যা নির্দেশ করে না যে অপরাধীরা বিশেষভাবে M1 ম্যাকগুলিকে টার্গেট করছে, বরং এটি পরামর্শ দেয় যে M1 ম্যাক এবং ইন্টেল ম্যাক উভয়ই সংক্রামিত হতে পারে৷

যা জানা যায় তা হল যে সংক্রামিত কম্পিউটারগুলি ঘন্টায় একবার একটি সার্ভারের সাথে যোগাযোগ করে, তাই এটি একটি বড় আক্রমণের জন্য প্রস্তুতির কিছু রূপ হতে পারে৷

ম্যালওয়্যারটি ম্যাক ওএস ইন্সটলার জাভাস্ক্রিপ্ট এপিআই ব্যবহার করে কমান্ড চালানোর জন্য।

সিলভার স্প্যারো কতটা বিপদ ডেকে আনে তা এখনও অজানা এইভাবে কীভাবে কমান্ডগুলি আরও কিছুর দিকে নিয়ে যায় তা নির্ধারণ করতে নিরাপত্তা সংস্থা এখনও পর্যন্ত অক্ষম। নিরাপত্তা সংস্থাটি তবুও বিশ্বাস করে যে ম্যালওয়্যারটি গুরুতর৷

অ্যাপলের পক্ষ থেকে, কোম্পানি সিলভার স্প্যারো ম্যালওয়্যারের সাথে যুক্ত প্যাকেজে স্বাক্ষর করতে ব্যবহৃত শংসাপত্রটি প্রত্যাহার করেছে৷

Apple-এর নোটারি পরিষেবা সত্ত্বেও, macOS ম্যালওয়্যার বিকাশকারীরা সফলভাবে অ্যাপল পণ্যগুলিকে লক্ষ্যবস্তু করেছে, যার মধ্যে রয়েছে ম্যাকবুক প্রো, ম্যাকবুক এয়ার এবং ম্যাক মিনি-এর মতো সাম্প্রতিক এআরএম চিপ ব্যবহার করা৷

Apple দাবি করে যে একটি "শিল্প-নেতৃস্থানীয়" ব্যবহারকারী সুরক্ষা ব্যবস্থা রয়েছে কিন্তু ম্যালওয়্যার হুমকি পুনরুত্থিত হচ্ছে৷

প্রকৃতপক্ষে, এটা মনে হচ্ছে যে হুমকি অভিনেতারা ইতিমধ্যেই গেম থেকে এগিয়ে আছে, তাদের শৈশবকালে M1 চিপগুলিকে লক্ষ্য করে। অনেক বৈধ বিকাশকারী তাদের অ্যাপ্লিকেশনগুলিকে নতুন প্ল্যাটফর্মে পোর্ট না করা সত্ত্বেও এটি হয়েছে৷

সিলভার স্প্যারো ম্যাকোস ম্যালওয়্যার ইন্টেল এবং এআরএম-এর জন্য বাইনারি পাঠায়, AWS এবং Akamai CDN ব্যবহার করে

গবেষকরা "সিলভার স্প্যারো'স উইংস ক্লিপিং:ফ্লাইট নেওয়ার আগে ম্যাকোস ম্যালওয়্যার আউটিং" ব্লগ পোস্টে সিলভার স্প্যারোর অপারেশনগুলি ব্যাখ্যা করেছেন৷

ম্যালওয়্যারের নতুন অংশ দুটি বাইনারিতে বিদ্যমান, ইন্টেল x86_64 প্রসেসরকে লক্ষ্য করে ম্যাক-অবজেক্ট ফরম্যাট এবং M1 ম্যাকের জন্য ডিজাইন করা Mach-O বাইনারি।

macOS ম্যালওয়্যার "update.pkg" বা "updater.pkg" নামে Apple ইনস্টলার প্যাকেজের মাধ্যমে ইনস্টল করা হয়৷

সংরক্ষণাগারগুলিতে জাভাস্ক্রিপ্ট কোড রয়েছে যা ইনস্টল স্ক্রিপ্ট কার্যকর হওয়ার আগে চলে, ব্যবহারকারীকে একটি প্রোগ্রামের অনুমতি দেওয়ার জন্য অনুরোধ করে "সফ্টওয়্যারটি ইনস্টল করা যায় কিনা তা নির্ধারণ করুন।"

ব্যবহারকারী গ্রহণ করলে, জাভাস্ক্রিপ্ট কোড verx.sh নামে একটি স্ক্রিপ্ট ইনস্টল করে। এই মুহুর্তে ইনস্টলেশন প্রক্রিয়া বাতিল করা নিরর্থক কারণ সিস্টেমটি ইতিমধ্যেই সংক্রামিত হয়েছে, ম্যালওয়্যারবাইটস অনুসারে৷

একবার ইনস্টল হয়ে গেলে, স্ক্রিপ্ট প্রতি ঘন্টায় একটি কমান্ড এবং কন্ট্রোল সার্ভারের সাথে যোগাযোগ করে, কমান্ড বা বাইনারি চালানোর জন্য পরীক্ষা করে।

কমান্ড ও কন্ট্রোল সেন্টার অ্যামাজন ওয়েব সার্ভিসেস (AWS) এবং আকামাই কন্টেন্ট ডেলিভারি নেটওয়ার্ক (CDN) অবকাঠামোতে চলে। গবেষকরা বলেছেন, ক্লাউড অবকাঠামোর ব্যবহার ভাইরাসকে ব্লক করা কঠিন করে তোলে।

আশ্চর্যজনকভাবে, গবেষকরা চূড়ান্ত পেলোডের স্থাপনা সনাক্ত করতে পারেননি, এইভাবে ম্যালওয়্যারের চূড়ান্ত লক্ষ্যটিকে একটি রহস্য করে তুলেছে৷

তারা উল্লেখ করেছে যে সম্ভবত ম্যালওয়্যারটি কিছু শর্ত পূরণের জন্য অপেক্ষা করছে। একইভাবে, এটি সম্ভবত নিরাপত্তা গবেষকদের দ্বারা নিরীক্ষণ করা শনাক্ত করতে পারে, এইভাবে দূষিত পেলোড স্থাপন করা এড়িয়ে যায়৷

কার্যকর করা হলে, ইন্টেল x86_64 বাইনারিগুলি "হ্যালো ওয়ার্ল্ড" প্রিন্ট করে যখন Mach-O বাইনারিগুলি "আপনি এটি করেছেন!" প্রদর্শন করে৷

গবেষকরা তাদের নাম দিয়েছেন "বাইস্ট্যান্ডার বাইনারি" কারণ তারা কোনো দূষিত আচরণ প্রদর্শন করেনি। অতিরিক্তভাবে, macOS ম্যালওয়্যারের স্টিলথ ক্ষমতা যোগ করে নিজেকে অপসারণ করার একটি পদ্ধতি রয়েছে৷

যাইহোক, তারা উল্লেখ করেছে যে সংক্রামিত ডিভাইসগুলির কোনওটিতেই স্ব-অপসারণ বৈশিষ্ট্যটি ব্যবহার করা হয়নি। ম্যালওয়্যারটি ইনস্টলেশনের পরে ডাউনলোড করা উৎসের URL অনুসন্ধান করে। তারা যুক্তি দিয়েছিল যে ম্যালওয়্যার বিকাশকারীরা কোন বিতরণ চ্যানেলটি সবচেয়ে কার্যকর তা ট্র্যাক করতে চায়৷

গবেষকরা কীভাবে ম্যালওয়্যার বিতরণ করা হয়েছিল তা বের করতে পারেননি তবে সম্ভাব্য বিতরণ চ্যানেলগুলির মধ্যে রয়েছে জাল ফ্ল্যাশ আপডেট, পাইরেটেড সফ্টওয়্যার, দূষিত বিজ্ঞাপন, বা বৈধ অ্যাপ৷

সাইবার অপরাধীরা তাদের আক্রমণের নিয়মগুলি সংজ্ঞায়িত করে এবং তাদের কৌশলগুলির বিরুদ্ধে রক্ষা করা আমাদের উপর নির্ভর করে, এমনকি সেই কৌশলগুলি সম্পূর্ণরূপে পরিষ্কার না হলেও। সিলভার স্প্যারো, ম্যাকওএসকে লক্ষ্য করে সদ্য চিহ্নিত ম্যালওয়্যার-এর পরিস্থিতি এমনই। বর্তমানে, এটি খুব ভয়ঙ্করভাবে কাজ করছে বলে মনে হয় না, তবে এটি এমন কৌশলগুলির অন্তর্দৃষ্টি প্রদান করতে পারে যার বিরুদ্ধে আমাদের রক্ষা করা উচিত৷

সিলভার স্প্যারো ম্যালওয়ারের প্রযুক্তিগত বৈশিষ্ট্য

গবেষকদের তদন্ত অনুসারে, সিলভার স্প্যারো ম্যালওয়্যারের দুটি সংস্করণ রয়েছে, যাকে "সংস্করণ 1" এবং "সংস্করণ 2" বলা হয়৷

ম্যালওয়্যার সংস্করণ 1

  • ফাইলের নাম:updater.pkg (v1-এর জন্য ইনস্টলার প্যাকেজ)
  • MD5:30c9bc7d40454e501c358f77449071aa

ম্যালওয়্যার সংস্করণ 2

  • ফাইলের নাম:update.pkg (v2 এর জন্য ইনস্টলার প্যাকেজ)
  • MD5:fdd6fb2b1dfe07b0e57d4cbfef9c8149

ডাউনলোড URL এবং স্ক্রিপ্ট মন্তব্যের পরিবর্তন ছাড়াও, দুটি ম্যালওয়্যার সংস্করণে শুধুমাত্র একটি প্রধান পার্থক্য ছিল। প্রথম সংস্করণে Intel x86_64 আর্কিটেকচারের জন্য সংকলিত একটি Mach-O বাইনারি অন্তর্ভুক্ত ছিল যখন দ্বিতীয় সংস্করণে Intel x86_64 এবং M1 ARM64 স্থাপত্য উভয়ের জন্য সংকলিত একটি Mach-O বাইনারি অন্তর্ভুক্ত ছিল। এটি গুরুত্বপূর্ণ কারণ M1 ARM64 আর্কিটেকচারটি নতুন এবং নতুন প্ল্যাটফর্মের জন্য খুব কম হুমকি আবিষ্কৃত হয়েছে৷

Mach-O সংকলিত বাইনারিগুলি কিছু করছে বলে মনে হয় না তাই তাদের "বাইস্ট্যান্ডার বাইনারি" বলা হয়৷

সিলভার স্প্যারো কিভাবে বিতরণ করা হয়?

প্রতিবেদনের উপর ভিত্তি করে, প্রচুর ম্যাকোস হুমকি দূষিত বিজ্ঞাপনের মাধ্যমে বিতরণ করা হয় একক, স্বয়ংসম্পূর্ণ ইনস্টলার হিসাবে PKG বা DMG ফর্মে, একটি বৈধ অ্যাপ্লিকেশন হিসাবে মাস্করেডিং - যেমন Adobe Flash Player - বা আপডেট হিসাবে। এই ক্ষেত্রে, যাইহোক, আক্রমণকারীরা দুটি স্বতন্ত্র প্যাকেজে ম্যালওয়্যার বিতরণ করেছে:updater.pkg এবং update.pkg। উভয় সংস্করণই কার্যকর করার জন্য একই কৌশল ব্যবহার করে, শুধুমাত্র বাইস্ট্যান্ডার বাইনারি সংকলনে ভিন্ন।

সিলভার স্প্যারো সম্পর্কে একটি অনন্য জিনিস হল যে এর ইনস্টলার প্যাকেজগুলি সন্দেহজনক কমান্ডগুলি চালানোর জন্য macOS ইনস্টলার জাভাস্ক্রিপ্ট এপিআই ব্যবহার করে। যদিও কিছু বৈধ সফ্টওয়্যারও এটি করছে, এটি প্রথমবারের মতো ম্যালওয়্যার দ্বারা করা হয়েছে৷ এটি এমন আচরণ থেকে একটি বিচ্যুতি যা আমরা সাধারণত দূষিত macOS ইনস্টলারগুলিতে লক্ষ্য করি, যা সাধারণত কমান্ডগুলি চালানোর জন্য প্রি-ইনস্টল বা পোস্ট-ইনস্টল স্ক্রিপ্ট ব্যবহার করে। প্রি-ইন্সটল এবং পোস্ট ইন্সটল ক্ষেত্রে, ইনস্টলেশন একটি নির্দিষ্ট টেলিমেট্রি প্যাটার্ন তৈরি করে যা নিচের মত দেখায়:

  • অভিভাবক প্রক্রিয়া:package_script_service
  • প্রক্রিয়া:bash, zsh, sh, Python, বা অন্য ইন্টারপ্রেটার
  • কমান্ড লাইন:প্রিইন্সটল বা পোস্ট ইন্সটল রয়েছে

এই টেলিমেট্রি প্যাটার্নটি নিজস্বভাবে দূষিততার একটি বিশেষভাবে উচ্চ-বিশ্বস্ততার সূচক নয় কারণ এমনকি বৈধ সফ্টওয়্যারও স্ক্রিপ্টগুলি ব্যবহার করে, তবে এটি সাধারণভাবে প্রি-ইনস্টল এবং পোস্ট-ইনস্টল স্ক্রিপ্টগুলি ব্যবহার করে ইনস্টলারদেরকে নির্ভরযোগ্যভাবে সনাক্ত করে। সিলভার স্প্যারো প্যাকেজ ফাইলের ডিস্ট্রিবিউশন ডেফিনিশন XML ফাইলের মধ্যে JavaScript কমান্ডগুলি অন্তর্ভুক্ত করে দূষিত macOS ইনস্টলারদের থেকে আমরা যা দেখতে আশা করি তার থেকে আলাদা। এটি একটি ভিন্ন টেলিমেট্রি প্যাটার্ন তৈরি করে:

  • অভিভাবক প্রক্রিয়া:ইনস্টলার
  • প্রক্রিয়া:bash

প্রি-ইনস্টল এবং পোস্ট-ইনস্টল স্ক্রিপ্টগুলির মতো, এই টেলিমেট্রি প্যাটার্নটি নিজেই দূষিত আচরণ সনাক্ত করার জন্য যথেষ্ট নয়। প্রি-ইনস্টল এবং পোস্ট-ইনস্টল স্ক্রিপ্টগুলিতে কমান্ড-লাইন আর্গুমেন্টগুলি অন্তর্ভুক্ত থাকে যা আসলে কী কার্যকর হচ্ছে তার সূত্র দেয়। অন্য দিকে, ক্ষতিকারক জাভাস্ক্রিপ্ট কমান্ডগুলি বৈধ macOS ইনস্টলার প্রক্রিয়া ব্যবহার করে চলে এবং ইনস্টলেশন প্যাকেজের বিষয়বস্তু বা প্যাকেজটি কীভাবে জাভাস্ক্রিপ্ট কমান্ডগুলি ব্যবহার করে তাতে খুব কম দৃশ্যমানতা অফার করে৷

আমরা জানি যে আপডেট.pkg বা updater.pkg নামে অ্যাপল ইনস্টলার প্যাকেজ (.pkg ফাইল) এর মাধ্যমে ম্যালওয়্যার ইনস্টল করা হয়েছিল। যাইহোক, আমরা জানি না কিভাবে এই ফাইলগুলি ব্যবহারকারীর কাছে পৌঁছে দেওয়া হয়েছিল৷

এই .pkg ফাইলগুলিতে জাভাস্ক্রিপ্ট কোড অন্তর্ভুক্ত ছিল, এমনভাবে যে কোডটি একেবারে শুরুতে, ইনস্টলেশন শুরু হওয়ার আগে চালানো হবে। তারপর ব্যবহারকারীকে জিজ্ঞাসা করা হবে যে তারা "সফ্টওয়্যারটি ইনস্টল করা যায় কিনা তা নির্ধারণ করতে" একটি প্রোগ্রাম চালানোর অনুমতি দিতে চান কিনা।

সিলভার স্প্যারোর ইনস্টলার ব্যবহারকারীকে বলছে:

"সফ্টওয়্যারটি ইনস্টল করা যাবে কিনা তা নির্ধারণ করতে এই প্যাকেজটি একটি প্রোগ্রাম চালাবে।"

এর মানে হল, আপনি যদি Continue-এ ক্লিক করতেন, কিন্তু তারপরে এটি সম্পর্কে আরও ভালভাবে চিন্তা করুন এবং ইনস্টলারটি ছেড়ে দিন, তখন অনেক দেরি হয়ে যাবে। আপনি ইতিমধ্যে সংক্রামিত হবেন।

দূষিত কার্যকলাপের আরেকটি ইঙ্গিত হল PlistBuddy প্রক্রিয়া আপনার Mac এ একটি লঞ্চ এজেন্ট তৈরি করা৷

LaunchAgents লঞ্চড, macOS ইনিশিয়ালাইজেশন সিস্টেম, পর্যায়ক্রমে বা স্বয়ংক্রিয়ভাবে কাজগুলি চালানোর নির্দেশ দেওয়ার একটি উপায় প্রদান করে। এন্ডপয়েন্টে যেকোন ব্যবহারকারীর দ্বারা এগুলি লেখা হতে পারে, তবে তারা সাধারণত সেই ব্যবহারকারী হিসাবেও সম্পাদন করবে যে সেগুলি লিখবে৷

ম্যাকওএস-এ সম্পত্তির তালিকা (প্লিস্ট) তৈরি করার একাধিক উপায় রয়েছে এবং কখনও কখনও হ্যাকাররা তাদের চাহিদা পূরণের জন্য বিভিন্ন পদ্ধতি ব্যবহার করে। এরকম একটি উপায় হল PlistBuddy, একটি অন্তর্নির্মিত টুল যা আপনাকে LaunchAgents সহ একটি এন্ডপয়েন্টে বিভিন্ন সম্পত্তি তালিকা তৈরি করতে দেয়। কখনও কখনও হ্যাকাররা অধ্যবসায় প্রতিষ্ঠার জন্য PlistBuddy-এর দিকে ফিরে যায়, এবং এটি ডিফেন্ডারদের EDR ব্যবহার করে লঞ্চএজেন্টের বিষয়বস্তু সহজেই পরিদর্শন করতে সক্ষম করে কারণ ফাইলের সমস্ত বৈশিষ্ট্য লেখার আগে কমান্ড লাইনে দেখানো হয়।

সিলভার স্প্যারোর ক্ষেত্রে, এইগুলি হল প্লিস্টের বিষয়বস্তু লেখার কমান্ড:

  • PlistBuddy -c "যোগ করুন :লেবেল স্ট্রিং init_verx" ~/Library/Launchagents/init_verx.plist
  • PlistBuddy -c “Add :RunAtLoad bool true” ~/Library/Launchagents/init_verx.plist
  • PlistBuddy -c "যোগ করুন :StartInterval integer 3600" ~/Library/Launchagents/init_verx.plist
  • PlistBuddy -c "যোগ করুন :ProgramArguments অ্যারে" ~/Library/Launchagents/init_verx.plist
  • PlistBuddy -c "যোগ করুন :ProgramArguments:0 স্ট্রিং '/bin/sh'" ~/Library/Launchagents/init_verx.plist
  • PlistBuddy -c “Add :ProgramArguments:1 string -c” ~/Library/Launchagents/init_verx.plist

LaunchAgent Plist XML নিম্নলিখিত অনুরূপ হবে:

লেবেল
init_verx
RunAtLoad
সত্য
StartInterval
3600
প্রোগ্রাম আর্গুমেন্টস
‘/bin/sh’
-c
“~/Library/Application\\ Support/verx_updater/verx.sh” [টাইমস্ট্যাম্প] [plist থেকে ডেটা ডাউনলোড করা হয়েছে]

সিলভার স্প্যারোতে একটি ফাইল চেকও রয়েছে যা ডিস্কে ~/Library/._insu-এর উপস্থিতি পরীক্ষা করে সমস্ত অধ্যবসায় প্রক্রিয়া এবং স্ক্রিপ্টগুলি অপসারণ করে। ফাইলটি উপস্থিত থাকলে, সিলভার স্প্যারো শেষ পয়েন্ট থেকে তার সমস্ত উপাদান সরিয়ে দেয়। Malwarebytes (d41d8cd98f00b204e9800998ecf8427e) থেকে রিপোর্ট করা হ্যাশগুলি নির্দেশ করে যে ._insu ফাইলটি খালি ছিল৷

যদি [ -f ~/Library/._insu ]
তারপর
rm ~/Library/Launchagents/verx.plist
rm ~/Library/Launchagents/init_verx.plist
rm /tmp/version.json
rm /tmp/version.plist
rm /tmp/verx
rm -r ~/Library/Application\\ Support/verx_updater
rm /tmp/agent.sh
init_verx অপসারণ লঞ্চ করুন

ইনস্টলেশনের শেষে, সিলভার স্প্যারো একটি কার্ল HTTP POST অনুরোধের জন্য ডেটা তৈরি করতে দুটি আবিষ্কার কমান্ড কার্যকর করে যা ইঙ্গিত করে যে ইনস্টলেশন ঘটেছে। একটি রিপোর্ট করার জন্য সিস্টেম UUID পুনরুদ্ধার করে, এবং দ্বিতীয়টি আসল প্যাকেজ ফাইল ডাউনলোড করতে ব্যবহৃত URL খুঁজে পায়৷

একটি sqlite3 ক্যোয়ারী চালানোর মাধ্যমে, ম্যালওয়্যারটি PKG থেকে ডাউনলোড করা আসল URLটি খুঁজে পায়, যা সাইবার অপরাধীদের সফল বিতরণ চ্যানেলের ধারণা দেয়। আমরা সাধারণত macOS-এ দূষিত অ্যাডওয়্যারের সাথে এই ধরণের কার্যকলাপ দেখতে পাই:sqlite3 sqlite3 ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV* 'LSQuarantineEvent থেকে LSQuarantineDataURLString নির্বাচন করুন যেখানে LSQuarantineDataURL"Like"LasQuarantineDataamp]"LasQuarantineDataamp] অর্ডার দ্বারা>

কিভাবে ম্যাক থেকে সিলভার স্প্যারো ম্যালওয়্যার সরাতে হয়

অ্যাপল দ্রুত বিকাশকারী শংসাপত্রগুলিকে ওভাররাইড করার জন্য পদক্ষেপ নিয়েছিল যা সিলভার স্প্যারো ম্যালওয়্যার ইনস্টল করা সক্ষম করে। তাই আরও ইনস্টলেশন আর সম্ভব হবে না।

অ্যাপলের গ্রাহকরা সাধারণত ম্যালওয়্যার থেকে সুরক্ষিত থাকে কারণ ম্যাক অ্যাপ স্টোরের বাইরে ডাউনলোড করা সমস্ত সফ্টওয়্যার নোটারাইজ করা প্রয়োজন। এই ক্ষেত্রে মনে হচ্ছে ম্যালওয়্যার লেখকরা একটি শংসাপত্র পেতে সক্ষম হয়েছিল যা প্যাকেজ স্বাক্ষর করার জন্য ব্যবহৃত হয়েছিল৷

এই শংসাপত্র ছাড়া ম্যালওয়্যার আর বেশি কম্পিউটারকে সংক্রমিত করতে পারে না৷

সিলভার স্প্যারো শনাক্ত করার আরেকটি উপায় হল আপনি সিলভার স্প্যারো সংক্রমণ বা অন্য কিছু নিয়ে কাজ করছেন কিনা তা নিশ্চিত করার জন্য সূচকগুলির উপস্থিতি অনুসন্ধান করা:

  • নিম্নলিখিত একটি কমান্ড লাইনের সাথে PlistBuddy সম্পাদন করছে বলে মনে হচ্ছে এমন একটি প্রক্রিয়া খুঁজুন:LaunchAgents এবং RunAtLoad এবং সত্য। এই বিশ্লেষণটি একাধিক macOS ম্যালওয়্যার পরিবারগুলি খুঁজে পেতে সাহায্য করে যা LaunchAgent স্থিরতা প্রতিষ্ঠা করে৷
  • একটি প্রক্রিয়া সন্ধান করুন যা sqlite3 একটি কমান্ড লাইনের সাথে একত্রে নির্বাহ করছে বলে মনে হচ্ছে:LSQuarantine। এই বিশ্লেষণটি একাধিক macOS ম্যালওয়্যার পরিবারগুলিকে খুঁজে পেতে সাহায্য করে যা ডাউনলোড করা ফাইলগুলির জন্য মেটাডেটা ম্যানিপুলেট বা অনুসন্ধান করে৷
  • একটি প্রসেস সন্ধান করুন যা একটি কমান্ড লাইনের সাথে একত্রে কার্ল নির্বাহ করছে বলে মনে হচ্ছে:s3.amazonaws.com। এই বিশ্লেষণটি বিতরণের জন্য S3 বালতি ব্যবহার করে একাধিক macOS ম্যালওয়্যার পরিবার খুঁজে পেতে সহায়তা করে৷

এই ফাইলগুলির উপস্থিতিও নির্দেশ করে যে আপনার ডিভাইসটি সিলভার স্প্যারো ম্যালওয়্যারের সংস্করণ 1 বা সংস্করণ 2 এর সাথে আপস করা হয়েছে:

  • ~/Library/._insu (খালি ফাইলটি নিজেকে মুছে ফেলার জন্য ম্যালওয়্যারকে সংকেত দিতে ব্যবহৃত হয়)
  • /tmp/agent.sh (ইনস্টলেশন কলব্যাকের জন্য শেল স্ক্রিপ্ট চালানো হয়েছে)
  • /tmp/version.json (এক্সিকিউশন ফ্লো নির্ধারণ করতে S3 থেকে ফাইল ডাউনলোড করা হয়েছে)
  • /tmp/version.plist (version.json একটি সম্পত্তি তালিকায় রূপান্তরিত)

ম্যালওয়্যার সংস্করণ 1 এর জন্য:

  • ফাইলের নাম:updater.pkg (v1 এর জন্য ইনস্টলার প্যাকেজ) বা আপডেটার (v1 প্যাকেজে বাইস্ট্যান্ডার Mach-O ইন্টেল বাইনারি)
  • MD5:30c9bc7d40454e501c358f77449071aa বা c668003c9c5b1689ba47a431512b03cc
  • s3.amazonaws[.]com (v1 এর জন্য S3 বাকেট ধরে ভার্সন.json)
  • ~/Library/Application Support/agent_updater/agent.sh (v1 স্ক্রিপ্ট যা প্রতি ঘণ্টায় কার্যকর হয়)
  • /tmp/এজেন্ট (বিতরণ করা হলে চূড়ান্ত v1 পেলোড ধারণকারী ফাইল)
  • ~/Library/Launchagents/agent.plist (v1 অধ্যবসায় প্রক্রিয়া)
  • ~/Library/Launchagents/init_agent.plist (v1 পারসিসটেন্স মেকানিজম)
  • ডেভেলপার আইডি Saotia Seay (5834W6MYX3) – v1 বাইস্ট্যান্ডার বাইনারি স্বাক্ষর অ্যাপল দ্বারা প্রত্যাহার করা হয়েছে

ম্যালওয়্যার সংস্করণ 2 এর জন্য:

  • ফাইলের নাম:update.pkg (v2-এর জন্য ইনস্টলার প্যাকেজ) অথবা tasker.app/Contents/MacOS/tasker (v2-তে বাইস্ট্যান্ডার Mach-O Intel এবং M1 বাইনারি)
  • MD5:fdd6fb2b1dfe07b0e57d4cbfef9c8149 বা b370191228fef82635e39a137be470af
  • s3.amazonaws[.]com (v2 এর জন্য S3 বাকেট ধরে ভার্সন.json)
  • ~/Library/Application Support/verx_updater/verx.sh (v2 স্ক্রিপ্ট যা প্রতি ঘণ্টায় কার্যকর হয়)
  • /tmp/verx (বিতরণ করা হলে চূড়ান্ত v2 পেলোড ধারণকারী ফাইল)
  • ~/Library/Launchagents/verx.plist (v2 পারসিসটেন্স মেকানিজম)
  • ~/Library/Launchagents/init_verx.plist (v2 পারসিসটেন্স মেকানিজম)
  • ডেভেলপার আইডি জুলি উইলি (MSZ3ZH74RK) – v2 বাইস্ট্যান্ডার বাইনারি স্বাক্ষর অ্যাপল দ্বারা প্রত্যাহার করা হয়েছে

সিলভার স্প্যারো ম্যালওয়্যার মুছে ফেলার জন্য, আপনি এই পদক্ষেপগুলি করতে পারেন:

1. একটি অ্যান্টি-ম্যালওয়্যার সফ্টওয়্যার ব্যবহার করে স্ক্যান করুন৷

আপনার কম্পিউটারে ম্যালওয়ারের বিরুদ্ধে সর্বোত্তম প্রতিরক্ষা সর্বদা একটি নির্ভরযোগ্য অ্যান্টি-ম্যালওয়্যার সফ্টওয়্যার যেমন Outbyte AVarmor হবে। কারণটি সহজ, একটি অ্যান্টি-ম্যালওয়্যার সফ্টওয়্যার আপনার সম্পূর্ণ কম্পিউটার স্ক্যান করে, যে কোনও সন্দেহজনক প্রোগ্রামগুলিকে সনাক্ত করে এবং সরিয়ে দেয়, সেগুলি যতই লুকানো থাকুক না কেন। ম্যালওয়্যার ম্যানুয়ালি অপসারণ করা কাজ করতে পারে, কিন্তু আপনি কিছু মিস করার সম্ভাবনা সবসময় থাকে। একটি ভাল অ্যান্টি-ম্যালওয়্যার প্রোগ্রাম করে না।

2. সিলভার স্প্যারো প্রোগ্রাম, ফাইল এবং ফোল্ডার মুছুন।

আপনার ম্যাকের সিলভার স্প্যারো ম্যালওয়্যার মুছে ফেলতে, প্রথমে অ্যাক্টিভিটি মনিটরে নেভিগেট করুন এবং যে কোনও সন্দেহজনক প্রক্রিয়া বন্ধ করুন। অন্যথায়, আপনি এটি মুছে ফেলার চেষ্টা করার সময় আপনি ত্রুটি বার্তা পাবেন। অ্যাক্টিভিটি মনিটরে যেতে, নিম্নলিখিত পদক্ষেপগুলি নিন:

  1. খোলা ফাইন্ডার।
  2. Applications> Utilities> Activity Monitor-এ যান।
  3. অ্যাক্টিভিটি মনিটরে, চলমান প্রক্রিয়াগুলি সন্ধান করুন। যদি তাদের মধ্যে কেউ সন্দেহজনক বা অপরিচিত বলে মনে হয় তবে তা ছেড়ে দিন। প্রক্রিয়াটির আরও যাচাইয়ের জন্য, আপনি এটিকে মাউস দিয়ে হাইলাইট করতে পারেন এবং ফাইলের অবস্থান দেখতে এটিতে ডান-ক্লিক করতে পারেন।

আপনি কোনও সন্দেহজনক প্রোগ্রাম মুছে ফেলার পরে, আপনাকে ম্যালওয়্যার-সম্পর্কিত ফাইল এবং ফোল্ডারগুলিও মুছতে হবে। নিম্নলিখিত পদক্ষেপগুলি নিতে হবে:

  1. Finder's Go to Folder বিকল্পটি ব্যবহার করে, /Library/LaunchAgents ফোল্ডারে নেভিগেট করুন। এই ফোল্ডারের ভিতরে, সিলভার স্প্যারোর সাথে সম্পর্কিত যে কোনও সন্দেহজনক ফাইল সন্ধান করুন। এই প্রকৃতির ফাইলগুলির উদাহরণগুলির মধ্যে রয়েছে “myppes.download.plist”, “mykotlerino.ltvbit.plist” এবং “installmac.AppRemoval.plist”। সনাক্তকরণে সাহায্য করতে, সাধারণ স্ট্রিং সহ ফাইলগুলি সন্ধান করুন৷
  2. /Library/Application Support ফোল্ডারে নেভিগেট করতে ফাইন্ডার ব্যবহার করুন। এখানে, সন্দেহজনক ফাইলগুলি দেখুন, বিশেষ করে অ্যাপ্লিকেশনগুলির সাথে সম্পর্কিত যেগুলি আপনি অ্যাপ্লিকেশন অ্যাপ্লিকেশন ব্যবহার করে মুছে ফেলেছেন৷ এগুলি সরানো হলে ভবিষ্যতে সিলভার স্প্যারো পুনরুত্থিত হওয়া বন্ধ করবে৷
  3. /Library/LaunchDaemons ফোল্ডারে নেভিগেট করুন এবং কোনো সন্দেহজনক ফাইল দেখুন। সিলভার স্প্যারো ম্যালওয়ারের সাথে যুক্ত সন্দেহজনক ফাইলগুলির উদাহরণগুলির মধ্যে রয়েছে "com.myppes.net-preferences.plist", "com.kuklorest.net-preferences.plist", "com.aoudad.net-preferences.plist" এবং " com.avickUpd.plist”। এই ফাইলগুলিকে ট্র্যাশে নিয়ে যান৷

3. যেকোনো সিলভার স্প্যারো ব্রাউজার এক্সটেনশন আনইনস্টল করুন, যদি প্রযোজ্য হয়।

আপনার কম্পিউটারের হার্ড ড্রাইভ থেকে ম্যালওয়্যার ম্যানুয়ালি মুছে ফেলার পরে, আপনাকে যেকোনো শীর্ষ ফলাফল ব্রাউজার এক্সটেনশন আনইনস্টল করতে হবে। আপনি যে ব্রাউজারটি ব্যবহার করছেন তার সেটিংস> এক্সটেনশনগুলিতে যান এবং আপনি পরিচিত নন এমন কোনো এক্সটেনশন সরিয়ে দিন। বিকল্পভাবে, আপনি আপনার ব্রাউজারকে ডিফল্টে রিসেট করতে পারেন কারণ এটি যেকোনো এক্সটেনশনকেও সরিয়ে দেবে।

সারাংশ

সিলভার স্প্যারো ম্যালওয়্যারটি রহস্যময় রয়ে গেছে কারণ এটি দীর্ঘ সময় পরেও অতিরিক্ত পেলোড ডাউনলোড করে না। এর মানে হল যে ম্যালওয়্যারটি কী করার জন্য ডিজাইন করা হয়েছিল তা আমাদের কাছে কোনও ধারণা নেই, যা ম্যাক ব্যবহারকারীদের এবং নিরাপত্তা বিশেষজ্ঞদের এটি কী করতে বোঝায় তা নিয়ে বিভ্রান্ত হয়ে পড়ে৷ দূষিত কার্যকলাপের অভাব সত্ত্বেও, ম্যালওয়্যারের উপস্থিতি নিজেই সংক্রামিত ডিভাইসগুলির জন্য হুমকি হয়ে দাঁড়িয়েছে৷ অতএব, এটি অবিলম্বে অপসারণ করা উচিত এবং এর সমস্ত চিহ্ন মুছে ফেলা উচিত।


  1. ব্লুটুথ 5.1:আপনার যা কিছু জানা দরকার

  2. ম্যালওয়্যার:আপনার যা জানা দরকার

  3. Wi-Fi 6:আপনার যা জানা দরকার!

  4. ফাইললেস ম্যালওয়্যার – এটি সম্পর্কে আপনার যা কিছু জানা দরকার