IBM X-Force এর মতে নেদারল্যান্ডসে তেমন সুবিধা করতে না পেরে একটি গ্রুপ Rovnix Trojan কে আপডেট ও রি-প্যাক করেছে জাপানের ব্যাংকগুলোকে লক্ষ্য করে।
ম্যালওয়্যারটি বিভিন্ন ফর্মেটে গত পাঁচ বছর ধরে কাজ করছে এবং ব্যাংক নিরাপত্তা হুমকিতে ফেলার সময় নিজেদের ডিটেকশন এড়ানোর জন্য নানা ধরনের কাজ করছে। এ কথা জানান, আই বি এম-এর সিনিয়র সাইবার নিরাপত্তা বিশ্লেষক Etay Maor.
IBM X-Force এর নমূনা পরীক্ষণ (samples exam) থেকে এটা খুব পরিষ্কার যে, Rovnix group জাপানী ব্যাংক এবং ব্যাংকগুলোর ইউজার ইন্টারফেস (user interface) বেশ নিবিড় ভাবে পর্যবেক্ষণ করে নকল (mimics) ওয়েব সাইট করে চেক করেছে।
ম্যালওয়্যারটি জানে কোন কোন ব্যাংক টেক্সট মেসেজের মাধ্যমে এক কালীন লগিন পাসওয়ার্ড (one-time login passwords) ব্যবহার করে এবং সাম্প্রতিক অ্যানড্রয়েড ফোনে মাধ্যমে পাস কোড ব্যবহারের বিষয় সমগ্রও।
যদি ম্যালওয়্যারটি এমন কোনো কম্পিউটারকে infect করে যেটি অনলাইন লেনদেনের সাথে সম্পৃক্ত নয়, তাহলে সেক্ষেত্রে এটি ransomware ব্যবহার করে থাকে যা কম্পিউটার কে লক করে দেয় এবং পেমেন্ট দাবী করে তা আনলক করে দেয়ার শর্তে।
Rovnix এর পেছনের কারিগররা দেখে কোনো দেশের সাধারণত ব্যবহৃত নিরাপত্তা ব্যবস্থাগুলো কী কী এবং তা টার্গেট করে এটাকের মাধ্যমে একাউন্টকে কমপ্রোমাইজ করতে বাধ্য করে।
এই ক্রিমিনাল এন্টারপ্রাইজটি উচ্চ মানের ওয়েব ইঞ্জেকশনের মাধ্যমে নকল (mimics) ওয়েব সাইট তৈরি করে ব্যাংক লেনদেনের ফর্মেটে স্ক্রিন সেট আপ করে নেয়। এদের একটি অংশ একাউন্টের ক্যাশ কালেক্ট করার কাজে ব্যাপ্ত থাকে।
জাপানের এটাকে খুব জটিল ফিচার সমন্বয়ে তা করা হয়, যাতে ভিক্টিমের মেশিনকে তারা স্ক্যান করে নিতে পারে। মেশিনের নিরাপত্তা সরিয়ে নিতে পারে এবং এটাককে পরিবর্তনও করতে পারে। এনক্রাইপশন ও ডিজিটাল সিগন্যাচার ব্যবহার করে ক্লায়েন্ট এবং কমান্ড ও কন্ট্রোল সার্ভারের সাথে তারা যোগাযোগ করে।
http://www.cio.com/article/3021783/security/rovnix-malware-shifts-focus-to-japan-says-ibm.html
