Extension Trojan Malware

एक बड़े पैमाने पर मैलवेयर अभियान का पता चला है। यह लोकप्रिय सॉफ़्टवेयर के रूप में प्रस्तुत नकली वेबसाइटों के माध्यम से वितरित ट्रोजन के माध्यम से धोखाधड़ी वाले Google Chrome और Microsoft Edge एक्सटेंशन इंस्टॉल करके उपयोगकर्ताओं को लक्षित करता है। ट्रोजन कई तरह के पेलोड तैनात करता है, जिसमें बुनियादी एडवेयर एक्सटेंशन से लेकर खोजों को हाईजैक करने वाले अधिक उन्नत असुरक्षित स्क्रिप्ट शामिल हैं जो व्यक्तिगत डेटा को इकट्ठा करने और विभिन्न कमांड निष्पादित करने के लिए डिज़ाइन किए गए स्थानीय एक्सटेंशन इंस्टॉल करते हैं। 2021 से सक्रिय यह ट्रोजन ऑनलाइन गेम और वीडियो के लिए ऐड-ऑन की पेशकश करने वाली नकली डाउनलोड वेबसाइटों से उत्पन्न होता है।

लाखों उपयोगकर्ता प्रभावित

मैलवेयर और इसके संबंधित एक्सटेंशन ने गूगल क्रोम और माइक्रोसॉफ्ट एज पर 300,000 से अधिक उपयोगकर्ताओं को प्रभावित किया है, जो खतरे की व्यापक प्रकृति को दर्शाता है।

इस अभियान का मुख्य उद्देश्य उपयोगकर्ताओं को भ्रामक वेबसाइटों पर ले जाने के लिए मालवेयर का उपयोग करना है जो रोबलोक एफपीएस अनलॉकर, यूट्यूब, वीएलसी मीडिया प्लेयर, स्टीम या कीपास जैसे प्रसिद्ध सॉफ़्टवेयर की नकल करते हैं। ये साइटें इन प्रोग्रामों की खोज करने वाले उपयोगकर्ताओं को ट्रोजन डाउनलोड करने के लिए प्रेरित करती हैं, जो फिर धोखाधड़ी वाले ब्राउज़र एक्सटेंशन इंस्टॉल करता है।

भ्रष्ट इंस्टॉलर, जो डिजिटल रूप से हस्ताक्षरित होते हैं, एक शेड्यूल किए गए कार्य को सेट करते हैं जो PowerShell स्क्रिप्ट को ट्रिगर करता है। यह स्क्रिप्ट रिमोट सर्वर से अगले चरण के पेलोड को डाउनलोड करने और निष्पादित करने के लिए उत्तरदायी है।

हमलावरों ने समझौता किए गए डिवाइस पर नए ब्राउज़र इंस्टॉल कर दिए

इसमें क्रोम वेब स्टोर और माइक्रोसॉफ्ट एज ऐड-ऑन से एक्सटेंशन को सम्मिलित करने के लिए विंडोज रजिस्ट्री में परिवर्तन करना शामिल है, जो गूगल और माइक्रोसॉफ्ट बिंग पर खोज क्वेरी को हाईजैक कर सकता है, तथा उन्हें हमलावरों द्वारा नियंत्रित सर्वरों के माध्यम से पुनर्निर्देशित कर सकता है।

एक्सटेंशन को डेवलपर मोड सक्षम होने पर भी न हटाए जाने योग्य बनाया गया है। स्क्रिप्ट के हाल के संस्करण ब्राउज़र अपडेट को भी अक्षम करते हैं। इसके अतिरिक्त, यह कमांड-एंड-कंट्रोल (C2) सर्वर से सीधे डाउनलोड किए गए एक स्थानीय एक्सटेंशन को तैनात करता है, जो सभी वेब अनुरोधों को रोकने, उन्हें सर्वर पर रिले करने, कमांड और एन्क्रिप्टेड स्क्रिप्ट निष्पादित करने और प्रत्येक वेब पेज में स्क्रिप्ट इंजेक्ट करने की व्यापक क्षमताओं से लैस है।

इसके अलावा, यह Ask.com, Bing और Google से खोज क्वेरीज़ को हाईजैक कर लेता है, तथा उन्हें अन्य खोज इंजनों को भेजने से पहले अपने सर्वरों के माध्यम से पुनः रूट करता है।

प्रभावित उपयोगकर्ताओं को कार्रवाई करनी चाहिए

मैलवेयर हमले से प्रभावित उपयोगकर्ताओं को समस्या को कम करने के लिए निम्नलिखित कदम उठाने चाहिए:

• उस शेड्यूल किए गए कार्य को हटा दें जो प्रतिदिन मैलवेयर को पुनः सक्रिय करता है।
• प्रासंगिक रजिस्ट्री कुंजियाँ हटाएँ.
• सिस्टम से निम्नलिखित फ़ाइलें और फ़ोल्डर्स हटाएँ:

C:\Windows\system32\Privacyblockerwindows.ps1

सी:\विंडोज\system32\Windowsupdater1.ps1

सी:\Windows\system32\WindowsUpdater1Script.ps1

C:\Windows\system32\Optimizerwindows.ps1

C:\Windows\system32\Printworkflowservice.ps1

C:\Windows\system32\NvWinSearchOptimizer.ps1 (2024 संस्करण)

C:\Windows\system32\kondserp_optimizer.ps1 (मई 2024 संस्करण)

C:\Windows\InternalKernelGrid

सी:\विंडोज़\इंटरनलकर्नेलग्रिड3

C:\Windows\InternalKernelGrid4

सी:\विंडोज़\ShellServiceLog

C:\windows\privacyprotectorlog

C:\Windows\NvOptimizerLog

इस तरह का हमला अभूतपूर्व नहीं है। दिसंबर 2023 में, इसी तरह के एक अभियान की रिपोर्ट की गई थी, जिसमें टोरेंट के माध्यम से वितरित एक ट्रोजन इंस्टॉलर शामिल था। यह इंस्टॉलर एक VPN ऐप के रूप में प्रच्छन्न था, लेकिन वास्तव में इसे 'कैशबैक गतिविधि हैक' को अंजाम देने के लिए डिज़ाइन किया गया था।