Extension Trojan Malware
ठूलो मात्रामा मालवेयर अभियान पत्ता लागेको छ। यसले लोकप्रिय सफ्टवेयरको रूपमा नक्कली वेबसाइटहरू मार्फत वितरित ट्रोजन मार्फत धोखाधडी गुगल क्रोम र माइक्रोसफ्ट एज एक्सटेन्सनहरू स्थापना गरेर प्रयोगकर्ताहरूलाई लक्षित गर्दछ। ट्रोजनले विभिन्न प्रकारका पेलोडहरू तैनाथ गर्दछ, आधारभूत एडवेयर विस्तारहरू जसले खोजहरूलाई अपहरण गर्ने थप उन्नत असुरक्षित स्क्रिप्टहरूमा व्यक्तिगत डेटा फसल गर्न र विभिन्न आदेशहरू कार्यान्वयन गर्न डिजाइन गरिएको स्थानीय विस्तारहरू स्थापना गर्दछ। यो ट्रोजन, २०२१ देखि सक्रिय, अनलाइन गेम र भिडियोहरूको लागि एड-अनहरू प्रदान गर्ने नकली डाउनलोड वेबसाइटहरूबाट उत्पन्न हुन्छ।
सामग्रीको तालिका
सयौं हजारौं प्रभावित प्रयोगकर्ताहरू
मालवेयर र यससँग सम्बन्धित विस्तारहरूले Google क्रोम र माइक्रोसफ्ट एजमा 300,000 भन्दा बढी प्रयोगकर्ताहरूलाई प्रभाव पारेको छ, यसले खतराको व्यापक प्रकृतिको प्रदर्शन गर्दछ।
यस अभियानको केन्द्रबिन्दु भनेको रोब्लोक्स FPS अनलकर, YouTube, VLC मिडिया प्लेयर, Steam वा KeePass जस्ता प्रख्यात सफ्टवेयरको नक्कल गर्ने भ्रामक वेबसाइटहरूमा प्रयोगकर्ताहरूलाई निर्देशित गर्न मालभरटाइजिङको प्रयोग हो। यी साइटहरूले प्रयोगकर्ताहरूलाई ट्रोजन डाउनलोड गर्नका लागि यी कार्यक्रमहरू खोज्ने ढाँट्छन्, जसले पछि जालसाजी ब्राउजर विस्तारहरू स्थापना गर्दछ।
भ्रष्ट स्थापनाकर्ताहरू, जुन डिजिटल रूपमा हस्ताक्षर गरिएको छ, एक निर्धारित कार्य सेट अप गर्दछ जसले PowerShell स्क्रिप्ट ट्रिगर गर्दछ। यो स्क्रिप्ट रिमोट सर्भरबाट अर्को चरणको पेलोड डाउनलोड र कार्यान्वयनको लागि उत्तरदायी छ।
आक्रमणकारीहरूले सम्झौता गरिएका उपकरणहरूमा नयाँ ब्राउजरहरू स्थापना गर्छन्
यसमा क्रोम वेब स्टोर र माइक्रोसफ्ट एज एड-अनहरूबाट विस्तारहरूको सम्मिलन लागू गर्न Windows रजिस्ट्री परिवर्तन गर्न समावेश छ, जसले गुगल र माइक्रोसफ्ट बिंगमा खोज क्वेरीहरूलाई हाइज्याक गर्न सक्छ, तिनीहरूलाई आक्रमणकर्ताहरूद्वारा नियन्त्रित सर्भरहरू मार्फत पुन: निर्देशित गर्दछ।
विकासकर्ता मोड सक्षम हुँदा पनि विस्तारलाई नमेटाउन सकिने गरी डिजाइन गरिएको छ। स्क्रिप्टको भर्खरका संस्करणहरूले ब्राउजर अपडेटहरू पनि असक्षम पार्छ। थप रूपमा, यसले कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरबाट सिधै डाउनलोड गरिएको स्थानीय विस्तार तैनाथ गर्दछ, सबै वेब अनुरोधहरू रोक्न, तिनीहरूलाई सर्भरमा रिले गर्न, आदेशहरू कार्यान्वयन गर्न र इन्क्रिप्टेड स्क्रिप्टहरू र प्रत्येक वेब पृष्ठमा लिपिहरू इन्जेक्सन गर्न व्यापक क्षमताहरूसँग सुसज्जित।
यसबाहेक, यसले Ask.com, Bing, र Google बाट खोज क्वेरीहरू हाइज्याक गर्दछ, तिनीहरूलाई अन्य खोज इन्जिनहरूमा पास गर्नु अघि तिनीहरूलाई यसको सर्भरहरू मार्फत पुन: रूट गर्दै।
प्रभावित प्रयोगकर्ताहरूले कारबाही गर्नुपर्छ
मालवेयर आक्रमणबाट प्रभावित प्रयोगकर्ताहरूले समस्यालाई कम गर्न निम्न कदमहरू चाल्नु पर्छ:
- दैनिक मालवेयर पुन: सक्रिय गर्ने निर्धारित कार्य मेटाउनुहोस्।
- सान्दर्भिक रजिस्ट्री कुञ्जीहरू हटाउनुहोस्।
- प्रणालीबाट निम्न फाइलहरू र फोल्डरहरू मेटाउनुहोस्:
C:\Windows\system32\Privacyblockerwindows.ps1
C:\Windows\system32\Windowsupdater1.ps1
C:\Windows\system32\WindowsUpdater1Script.ps1
C:\Windows\system32\Optimizerwindows.ps1
C:\Windows\system32\Printworkflowservice.ps1
C:\Windows\system32\NvWinSearchOptimizer.ps1 (२०२४ संस्करण)
C:\Windows\system32\kondserp_optimizer.ps1 (मे २०२४ संस्करण)
C:\Windows\InternalKernelGrid
C:\Windows\InternalKernelGrid3
C:\Windows\InternalKernelGrid4
C:\Windows\ShellServiceLog
C:\windows\privacyprotectorlog
C:\Windows\NvOptimizerLog
यस प्रकारको आक्रमण अभूतपूर्व होइन। डिसेम्बर 2023 मा, एक समान अभियान रिपोर्ट गरिएको थियो, टोरेन्टहरू मार्फत वितरित ट्रोजन स्थापनाकर्ता समावेश। यो स्थापनाकर्तालाई VPN एपको रूपमा लुकाइएको थियो तर वास्तवमा 'क्यासब्याक गतिविधि ह्याक' कार्यान्वयन गर्न डिजाइन गरिएको थियो।
