មេរោគ Trojan ផ្នែកបន្ថែម
យុទ្ធនាការមេរោគទ្រង់ទ្រាយធំត្រូវបានរកឃើញ។ វាកំណត់គោលដៅអ្នកប្រើប្រាស់ដោយដំឡើងកម្មវិធីបន្ថែម Google Chrome និង Microsoft Edge ក្លែងបន្លំតាមរយៈ Trojan ដែលចែកចាយតាមគេហទំព័រក្លែងក្លាយដែលចាត់ទុកជាកម្មវិធីពេញនិយម។ Trojan ដាក់ពង្រាយជួរនៃ payloads ចាប់ពីផ្នែកបន្ថែម adware មូលដ្ឋានដែលលួចស្វែងរកទៅ scripts ដែលមិនមានសុវត្ថិភាពកម្រិតខ្ពស់ដែលដំឡើងផ្នែកបន្ថែមក្នុងតំបន់ដែលត្រូវបានរចនាឡើងដើម្បីប្រមូលទិន្នន័យផ្ទាល់ខ្លួន និងប្រតិបត្តិពាក្យបញ្ជាផ្សេងៗ។ Trojan នេះសកម្មតាំងពីឆ្នាំ 2021 មានប្រភពមកពីគេហទំព័រទាញយកក្លែងក្លាយដែលផ្តល់កម្មវិធីបន្ថែមសម្រាប់ហ្គេម និងវីដេអូអនឡាញ។
តារាងមាតិកា
អ្នកប្រើប្រាស់ដែលរងផលប៉ះពាល់រាប់រយពាន់នាក់។
មេរោគ និងផ្នែកបន្ថែមដែលពាក់ព័ន្ធរបស់វាបានប៉ះពាល់ដល់អ្នកប្រើប្រាស់ជាង 300,000 នាក់នៅលើ Google Chrome និង Microsoft Edge ដោយបង្ហាញពីលក្ខណៈរីករាលដាលនៃការគំរាមកំហែង។
ចំណុចកណ្តាលនៃយុទ្ធនាការនេះគឺការប្រើប្រាស់ការផ្សាយពាណិជ្ជកម្មខុសឆ្គងដើម្បីដឹកនាំអ្នកប្រើប្រាស់ទៅកាន់គេហទំព័របោកប្រាស់ដែលធ្វើត្រាប់តាមកម្មវិធីល្បីដូចជា Roblox FPS Unlocker, YouTube, VLC media player, Steam ឬ KeePass ។ គេហទំព័រទាំងនេះបញ្ឆោតអ្នកប្រើប្រាស់ដែលស្វែងរកកម្មវិធីទាំងនេះឱ្យទាញយក Trojan ដែលបន្ទាប់មកដំឡើងផ្នែកបន្ថែមកម្មវិធីរុករកក្លែងបន្លំ។
កម្មវិធីដំឡើងដែលខូច ដែលត្រូវបានចុះហត្ថលេខាជាឌីជីថល រៀបចំកិច្ចការដែលបានកំណត់ពេលដែលបង្កឱ្យមានស្គ្រីប PowerShell ។ ស្គ្រីបនេះមានទំនួលខុសត្រូវសម្រាប់ការទាញយក និងដំណើរការបន្ទុកដំណាក់កាលបន្ទាប់ពីម៉ាស៊ីនមេពីចម្ងាយ។
អ្នកវាយប្រហារដំឡើងកម្មវិធីរុករកថ្មីនៅលើឧបករណ៍ដែលត្រូវបានសម្របសម្រួល
នេះពាក់ព័ន្ធនឹងការកែប្រែ Windows Registry ដើម្បីពង្រឹងការបញ្ចូលផ្នែកបន្ថែមពី Chrome Web Store និង Microsoft Edge Add-ons ដែលអាចប្លន់សំណួរស្វែងរកនៅលើ Google និង Microsoft Bing ដោយបញ្ជូនបន្តពួកវាតាមរយៈម៉ាស៊ីនមេដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ។
កម្មវិធីបន្ថែមនេះត្រូវបានរចនាឡើងដើម្បីមិនអាចលុបចេញបាន ទោះបីត្រូវបានបើករបៀបអ្នកអភិវឌ្ឍន៍ក៏ដោយ។ កំណែថ្មីនៃស្គ្រីបក៏បិទការអាប់ដេតកម្មវិធីរុករកតាមអ៊ីនធឺណិតផងដែរ។ លើសពីនេះ វាដាក់ពង្រាយផ្នែកបន្ថែមក្នុងតំបន់ដែលបានទាញយកដោយផ្ទាល់ពីម៉ាស៊ីនមេ Command-and-Control (C2) ដែលបំពាក់ដោយសមត្ថភាពយ៉ាងទូលំទូលាយក្នុងការស្ទាក់ចាប់រាល់សំណើគេហទំព័រ បញ្ជូនពួកវាទៅម៉ាស៊ីនមេ ប្រតិបត្តិពាក្យបញ្ជា និងស្គ្រីបដែលបានអ៊ិនគ្រីប និងបញ្ចូលស្គ្រីបទៅក្នុងគ្រប់គេហទំព័រ។
លើសពីនេះទៅទៀត វាលួចយកសំណួរស្វែងរកពី Ask.com, Bing និង Google ដោយបញ្ជូនពួកគេតាមរយៈម៉ាស៊ីនបម្រើរបស់ខ្លួនមុនពេលបញ្ជូនវាទៅម៉ាស៊ីនស្វែងរកផ្សេងទៀត។
អ្នកប្រើប្រាស់ដែលរងផលប៉ះពាល់គួរចាត់វិធានការ
អ្នកប្រើប្រាស់ដែលរងផលប៉ះពាល់ដោយការវាយប្រហារមេរោគគួរតែចាត់វិធានការដូចខាងក្រោមដើម្បីកាត់បន្ថយបញ្ហានេះ៖
- លុបកិច្ចការដែលបានកំណត់ពេល ដែលធ្វើឲ្យមេរោគសកម្មឡើងវិញជារៀងរាល់ថ្ងៃ។
- យកសោចុះបញ្ជីដែលពាក់ព័ន្ធ។
- លុបឯកសារ និងថតឯកសារខាងក្រោមចេញពីប្រព័ន្ធ៖
C:\Windows\system32\Privacyblockerwindows.ps1
C:\Windows\system32\Windowsupdater1.ps1
C:\Windows\system32\WindowsUpdater1Script.ps1
C:\Windows\system32\Optimizerwindows.ps1
C:\Windows\system32\Printworkflowservice.ps1
C:\Windows\system32\NvWinSearchOptimizer.ps1 (កំណែ 2024)
C:\Windows\system32\kondserp_optimizer.ps1 (កំណែខែឧសភា ឆ្នាំ 2024)
C:\Windows\InternalKernelGrid
C:\Windows\InternalKernelGrid3
C:\Windows\InternalKernelGrid4
C:\Windows\ShellServiceLog
C:\windows\privacyprotectorlog
C:\Windows\NvOptimizerLog
ប្រភេទនៃការវាយប្រហារនេះមិនធ្លាប់មានពីមុនមកទេ។ នៅខែធ្នូ ឆ្នាំ 2023 យុទ្ធនាការស្រដៀងគ្នាមួយត្រូវបានរាយការណ៍ ដែលពាក់ព័ន្ធនឹងកម្មវិធីដំឡើង Trojan ដែលចែកចាយតាមរយៈ torrent ។ កម្មវិធីដំឡើងនេះត្រូវបានក្លែងធ្វើជាកម្មវិធី VPN ប៉ុន្តែពិតជាត្រូវបានរចនាឡើងដើម្បីប្រតិបត្តិ 'ការ hack សកម្មភាពដកប្រាក់'។
