সাত মাসের বিরতির পর আবারও ফিরে এসেছে বহুল আলোচিত ও বিপজ্জনক ম্যালওয়্যার লোডার ‘গুটলোডার’। আগের মতো এবারও এটি সার্চ ইঞ্জিনের মাধ্যমে ভুয়া ওয়েবসাইট ছড়িয়ে ব্যবহারকারীদের বিভ্রান্ত করছে। আইনসংক্রান্ত টেমপ্লেট বা চুক্তিপত্রের নমুনা দেওয়ার ছদ্মবেশে এসব ওয়েবসাইট ব্যবহারকারীকে জিপ ফাইল ডাউনলোডে প্রলুব্ধ করে, যার ভেতর লুকিয়ে থাকে ক্ষতিকর জাভাস্ক্রিপ্ট (.js) ফাইল। ব্যবহারকারী ফাইলটি চালু করলেই তার ডিভাইস গুটলোডার দ্বারা আক্রান্ত হয়।

এসইও কৌশলে সার্চ রেজাল্ট দখল
জাভাস্ক্রিপ্ট–ভিত্তিক এই ম্যালওয়্যার লোডারটি সাধারণত আক্রান্ত বা হ্যাকারদের নিয়ন্ত্রিত সাইট ব্যবহার করে ছড়ানো হয়। এসব ভুয়া সাইটকে সার্চ রেজাল্টে উপরে তুলতে হ্যাকাররা এসইও, স্পন্সরড লিংক এবং বিজ্ঞাপনের কৌশল ব্যবহার করে। ফলে ‘legal document’, ‘agreement template’ জাতীয় শব্দ দিয়ে সার্চ করলে ব্যবহারকারীরা সহজেই এসব ভুয়া সাইটে প্রবেশ করেন। প্রথমদিকে গুটলোডার ভুয়া ফোরামের মতো পেজ তৈরি করলেও এখন তারা সরাসরি টেমপ্লেট ডাউনলোড সাইট হিসেবে ছদ্মবেশ ধরছে। “Get Document” বাটনে ক্লিক করলেই ব্যবহারকারীর পরিচয় যাচাইয়ের নামে জিপ ফাইল ডাউনলোড হয়, যা মূল ম্যালওয়ারের বাহক।

ডিভাইসে অতিরিক্ত ম্যালওয়্যার ইনস্টল
গুটলোডার সক্রিয় হওয়ার পর এটি ডিভাইসে কোবাল্ট স্ট্রাইক, বট, ব্যাকডোরসহ একাধিক ক্ষতিকর সফটওয়্যার ইনস্টল করে। এই টুলগুলোর মাধ্যমে হ্যাকাররা সহজেই করপোরেট নেটওয়ার্কে প্রবেশ করতে পারে এবং পরবর্তী ধাপে র‍্যানসমওয়্যার হামলার পথ তৈরি করে। অর্থাৎ একটি সাধারণ ডকুমেন্ট ডাউনলোডই বড় ধরনের সাইবার আক্রমণের সূচনা হতে পারে।

গবেষকদের পর্যবেক্ষণ: নতুন কৌশলে আরও জটিল গুটলোডার
একজন বেনামি গবেষক দীর্ঘদিন ধরে গুটলোডারের কার্যক্রম ব্যাহত করার চেষ্টা চালিয়ে আসছিলেন। তাঁর উদ্যোগে মার্চে এর কার্যক্রম হঠাৎ বন্ধ হয়ে গেলেও সম্প্রতি আবার সক্রিয় হয়েছে। হান্ট্রেস ল্যাবসের গবেষক আনা ফ্যাম জানিয়েছেন, ১০০টিরও বেশি ওয়েবসাইটে হাজারো কিওয়ার্ড ছড়ানো হয়েছে, যার মাধ্যমে নতুন করে ব্যবহারকারীদের টার্গেট করা হচ্ছে।

গুটলোডারের নতুন সংস্করণে রয়েছে আরও জটিল কৌশল। হান্ট্রেস জানায়, ভুয়া ওয়েবসাইটগুলোতে এখন এমন বিশেষ ওয়েব ফন্ট ব্যবহার করা হচ্ছে, যা সোর্স কোডে লেখা বিকৃত করে দেয়। সোর্স কোডে অর্থহীন লেখা দেখা গেলেও ব্রাউজারে তা স্বাভাবিক শব্দ হিসেবে প্রদর্শিত হয়। এর ফলে “contract” বা “invoice” এর মতো শব্দ শনাক্ত করতে নিরাপত্তা সফটওয়্যার ব্যর্থ হয়। এছাড়া গুটলোডার এখন বিকৃত জিপ ফাইল ব্যবহার করেও ম্যালওয়্যার ছড়াচ্ছে।

‘সুপার সকস ৫’ ব্যাকডোর: আরও বড় বিপদ
সংশ্লিষ্ট গবেষকদের মতে, সাম্প্রতিক আক্রমণে গুটলোডার আক্রান্ত ডিভাইসে ‘Super Socks5’ নামের এক ব্যাকডোর ইনস্টল করছে। এই ব্যাকডোর ব্যবহার করে হামলাকারীরা দূরবর্তীভাবে পুরো নেটওয়ার্ক নিয়ন্ত্রণে নিতে পারে। ধারণা করা হয়, এই টুলটি ‘Vanilla Tempest’ র‍্যানসমওয়্যার গ্রুপের ব্যবহৃত টুল, যারা BlackCat, Quantum Locker, Zeppelin ও Rhysida র‍্যানসমওয়্যার অভিযানের সঙ্গে যুক্ত।

হান্ট্রেস জানায়, সংক্রমণের মাত্র ২০ মিনিটের মধ্যে হামলাকারীরা সিস্টেম স্ক্যান শুরু করে এবং ১৭ ঘণ্টার মধ্যেই ডোমেইন কন্ট্রোলার দখলে নেয়-যা অত্যন্ত দ্রুত ও ভয়ংকর এক প্রক্রিয়া।

সতর্কতা ও প্রতিকার
বিশেষজ্ঞদের মতে, গুটলোডারের নতুন ঢেউ ব্যক্তি ও প্রতিষ্ঠান উভয়ের জন্যই বড় ঝুঁকি। আইনসংক্রান্ত নথি বা টেমপ্লেট ডাউনলোডের আগে ওয়েবসাইটের বিশ্বাসযোগ্যতা যাচাই করা অত্যন্ত জরুরি। অপরিচিত বা সন্দেহজনক ওয়েবসাইট থেকে কোনো ফাইল ডাউনলোড করা উচিত নয়। করপোরেট প্রতিষ্ঠানের ক্ষেত্রে শক্তিশালী এন্ডপয়েন্ট সুরক্ষা, নিয়মিত আপডেট ও কর্মীদের সাইবার সচেতনতা প্রশিক্ষণ অপরিহার্য। সূত্র: টেকরাডার ও ব্লিপিং কম্পিউটার