Extension Trojan Malware
একটি বড় মাপের ম্যালওয়্যার প্রচারাভিযান সনাক্ত করা হয়েছে। এটি জনপ্রিয় সফ্টওয়্যার হিসাবে জাল ওয়েবসাইটের মাধ্যমে বিতরণ করা একটি ট্রোজানের মাধ্যমে প্রতারণামূলক গুগল ক্রোম এবং মাইক্রোসফ্ট এজ এক্সটেনশন ইনস্টল করে ব্যবহারকারীদের লক্ষ্য করে। ট্রোজান ব্যাসিক অ্যাডওয়্যার এক্সটেনশন থেকে শুরু করে অনুসন্ধানগুলিকে হাইজ্যাক করে এমন আরও উন্নত অনিরাপদ স্ক্রিপ্ট যা ব্যক্তিগত ডেটা সংগ্রহ করতে এবং বিভিন্ন কমান্ড চালানোর জন্য ডিজাইন করা স্থানীয় এক্সটেনশন ইনস্টল করে। এই ট্রোজান, 2021 সাল থেকে সক্রিয়, অনলাইন গেম এবং ভিডিওর জন্য অ্যাড-অন অফার করে এমন নকল ডাউনলোড ওয়েবসাইটগুলি থেকে উদ্ভূত।
সুচিপত্র
প্রভাবিত ব্যবহারকারীদের শত শত হাজার
ম্যালওয়্যার এবং এর সাথে সম্পর্কিত এক্সটেনশনগুলি Google Chrome এবং Microsoft Edge-এর 300,000 ব্যবহারকারীকে প্রভাবিত করেছে, হুমকির ব্যাপক প্রকৃতি প্রদর্শন করে৷
এই প্রচারাভিযানের কেন্দ্রবিন্দু হল ব্যবহারকারীদের প্রতারণামূলক ওয়েবসাইটের দিকে পরিচালিত করার জন্য ম্যালভার্টাইজিং ব্যবহার যা Roblox FPS Unlocker, YouTube, VLC মিডিয়া প্লেয়ার, Steam বা KeePass এর মতো সুপরিচিত সফ্টওয়্যার অনুকরণ করে। এই সাইটগুলি একটি ট্রোজান ডাউনলোড করার জন্য এই প্রোগ্রামগুলির জন্য অনুসন্ধানকারী ব্যবহারকারীদের প্রতারণা করে, যা তারপরে প্রতারণামূলক ব্রাউজার এক্সটেনশনগুলি ইনস্টল করে।
দুর্নীতিগ্রস্ত ইনস্টলার, যেগুলি ডিজিটালভাবে স্বাক্ষরিত, একটি নির্ধারিত টাস্ক সেট আপ করে যা একটি PowerShell স্ক্রিপ্ট ট্রিগার করে। এই স্ক্রিপ্টটি দূরবর্তী সার্ভার থেকে পরবর্তী পর্যায়ের পেলোড ডাউনলোড এবং কার্যকর করার জন্য দায়ী।
আক্রমণকারীরা আপোসকৃত ডিভাইসে নতুন ব্রাউজার ইনস্টল করে
এতে ক্রোম ওয়েব স্টোর এবং মাইক্রোসফ্ট এজ অ্যাড-অনগুলি থেকে এক্সটেনশনগুলির সন্নিবেশ কার্যকর করার জন্য উইন্ডোজ রেজিস্ট্রি পরিবর্তন করা জড়িত, যা আক্রমণকারীদের দ্বারা নিয়ন্ত্রিত সার্ভারগুলির মাধ্যমে গুগল এবং মাইক্রোসফ্ট বিং-এ অনুসন্ধান প্রশ্নগুলি হাইজ্যাক করতে পারে৷
ডেভেলপার মোড সক্ষম থাকা সত্ত্বেও এক্সটেনশনটিকে অপসারণযোগ্য করার জন্য ডিজাইন করা হয়েছে৷ স্ক্রিপ্টের সাম্প্রতিক সংস্করণগুলি ব্রাউজার আপডেটগুলিও অক্ষম করে৷ অতিরিক্তভাবে, এটি একটি কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভার থেকে সরাসরি ডাউনলোড করা একটি স্থানীয় এক্সটেনশন স্থাপন করে, যা সমস্ত ওয়েব অনুরোধগুলিকে আটকাতে, সার্ভারে রিলে করতে, কমান্ড এবং এনক্রিপ্ট করা স্ক্রিপ্ট চালানো এবং প্রতিটি ওয়েব পৃষ্ঠায় স্ক্রিপ্ট ইনজেকশন করার জন্য ব্যাপক ক্ষমতার সাথে সজ্জিত।
অধিকন্তু, এটি Ask.com, Bing এবং Google থেকে অনুসন্ধানের প্রশ্নগুলি হাইজ্যাক করে, অন্য সার্চ ইঞ্জিনগুলিতে পাঠানোর আগে তাদের সার্ভারের মাধ্যমে পুনরায় রুট করে।
প্রভাবিত ব্যবহারকারীদের ব্যবস্থা নেওয়া উচিত
ম্যালওয়্যার আক্রমণ দ্বারা প্রভাবিত ব্যবহারকারীদের সমস্যাটি প্রশমিত করতে নিম্নলিখিত পদক্ষেপগুলি গ্রহণ করা উচিত:
- নির্ধারিত টাস্ক মুছুন যা প্রতিদিন ম্যালওয়্যার পুনরায় সক্রিয় করে।
- প্রাসঙ্গিক রেজিস্ট্রি কীগুলি সরান।
- সিস্টেম থেকে নিম্নলিখিত ফাইল এবং ফোল্ডার মুছুন:
C:\Windows\system32\Privacyblockerwindows.ps1
C:\Windows\system32\Windowsupdater1.ps1
C:\Windows\system32\WindowsUpdater1Script.ps1
C:\Windows\system32\Optimizerwindows.ps1
C:\Windows\system32\Printworkflowservice.ps1
C:\Windows\system32\NvWinSearchOptimizer.ps1 (2024 সংস্করণ)
C:\Windows\system32\kondserp_optimizer.ps1 (মে 2024 সংস্করণ)
C:\Windows\InternalKernelGrid
C:\Windows\InternalKernelGrid3
C:\Windows\InternalKernelGrid4
C:\Windows\ShellServiceLog
C:\windows\privacyprotectorlog
C:\Windows\NvOptimizerLog
এ ধরনের হামলা নজিরবিহীন নয়। 2023 সালের ডিসেম্বরে, একটি অনুরূপ প্রচারাভিযান রিপোর্ট করা হয়েছিল, যেখানে টরেন্টের মাধ্যমে বিতরণ করা একটি ট্রোজান ইনস্টলার জড়িত ছিল। এই ইনস্টলারটি একটি VPN অ্যাপের ছদ্মবেশে ছিল কিন্তু আসলে এটি একটি 'ক্যাশব্যাক অ্যাক্টিভিটি হ্যাক' চালানোর জন্য ডিজাইন করা হয়েছিল।
