Extension Trojan Malware

ਇੱਕ ਵੱਡੇ ਪੱਧਰ 'ਤੇ ਮਾਲਵੇਅਰ ਮੁਹਿੰਮ ਦਾ ਪਤਾ ਲਗਾਇਆ ਗਿਆ ਹੈ। ਇਹ ਮਸ਼ਹੂਰ ਸੌਫਟਵੇਅਰ ਵਜੋਂ ਪੇਸ਼ ਕਰਨ ਵਾਲੀਆਂ ਜਾਅਲੀ ਵੈਬਸਾਈਟਾਂ ਦੁਆਰਾ ਵੰਡੇ ਗਏ ਟਰੋਜਨ ਦੁਆਰਾ ਧੋਖੇਬਾਜ਼ ਗੂਗਲ ਕਰੋਮ ਅਤੇ ਮਾਈਕ੍ਰੋਸਾੱਫਟ ਐਜ ਐਕਸਟੈਂਸ਼ਨਾਂ ਨੂੰ ਸਥਾਪਿਤ ਕਰਕੇ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ। ਟਰੋਜਨ ਬੇਸਿਕ ਐਡਵੇਅਰ ਐਕਸਟੈਂਸ਼ਨਾਂ ਤੋਂ ਲੈ ਕੇ ਹੋਰ ਉੱਨਤ ਅਸੁਰੱਖਿਅਤ ਸਕ੍ਰਿਪਟਾਂ ਤੱਕ ਖੋਜਾਂ ਨੂੰ ਹਾਈਜੈਕ ਕਰਨ ਵਾਲੇ ਪੇਲੋਡਾਂ ਦੀ ਇੱਕ ਰੇਂਜ ਤੈਨਾਤ ਕਰਦਾ ਹੈ ਜੋ ਨਿੱਜੀ ਡੇਟਾ ਦੀ ਕਟਾਈ ਅਤੇ ਵੱਖ-ਵੱਖ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਣ ਲਈ ਤਿਆਰ ਕੀਤੇ ਗਏ ਸਥਾਨਕ ਐਕਸਟੈਂਸ਼ਨਾਂ ਨੂੰ ਸਥਾਪਿਤ ਕਰਦੇ ਹਨ। ਇਹ ਟਰੋਜਨ, 2021 ਤੋਂ ਸਰਗਰਮ ਹੈ, ਆਨਲਾਈਨ ਗੇਮਾਂ ਅਤੇ ਵੀਡੀਓਜ਼ ਲਈ ਐਡ-ਆਨ ਦੀ ਪੇਸ਼ਕਸ਼ ਕਰਨ ਵਾਲੀਆਂ ਨਕਲੀ ਡਾਊਨਲੋਡ ਵੈੱਬਸਾਈਟਾਂ ਤੋਂ ਉਤਪੰਨ ਹੁੰਦਾ ਹੈ।

ਸੈਂਕੜੇ ਹਜ਼ਾਰਾਂ ਪ੍ਰਭਾਵਿਤ ਉਪਭੋਗਤਾ

ਮਾਲਵੇਅਰ ਅਤੇ ਇਸ ਨਾਲ ਜੁੜੇ ਐਕਸਟੈਂਸ਼ਨਾਂ ਨੇ ਗੂਗਲ ਕਰੋਮ ਅਤੇ ਮਾਈਕ੍ਰੋਸਾਫਟ ਐਜ 'ਤੇ 300,000 ਤੋਂ ਵੱਧ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਪ੍ਰਭਾਵਤ ਕੀਤਾ ਹੈ, ਖ਼ਤਰੇ ਦੀ ਵਿਆਪਕ ਪ੍ਰਕਿਰਤੀ ਦਾ ਪ੍ਰਦਰਸ਼ਨ ਕਰਦੇ ਹੋਏ।

ਇਸ ਮੁਹਿੰਮ ਦਾ ਕੇਂਦਰ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਧੋਖੇਬਾਜ਼ ਵੈਬਸਾਈਟਾਂ ਵੱਲ ਸੇਧਿਤ ਕਰਨ ਲਈ ਗਲਤ ਵਰਤੋਂ ਦੀ ਵਰਤੋਂ ਹੈ ਜੋ ਰੋਬਲੋਕਸ FPS ਅਨਲੌਕਰ, YouTube, VLC ਮੀਡੀਆ ਪਲੇਅਰ, ਸਟੀਮ ਜਾਂ ਕੀਪਾਸ ਵਰਗੇ ਮਸ਼ਹੂਰ ਸੌਫਟਵੇਅਰ ਦੀ ਨਕਲ ਕਰਦੇ ਹਨ। ਇਹ ਸਾਈਟਾਂ ਇਹਨਾਂ ਪ੍ਰੋਗਰਾਮਾਂ ਦੀ ਖੋਜ ਕਰਨ ਵਾਲੇ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਇੱਕ ਟ੍ਰੋਜਨ ਡਾਊਨਲੋਡ ਕਰਨ ਲਈ ਚਾਲਬਾਜ਼ ਕਰਦੀਆਂ ਹਨ, ਜੋ ਫਿਰ ਧੋਖੇਬਾਜ਼ ਬ੍ਰਾਊਜ਼ਰ ਐਕਸਟੈਂਸ਼ਨਾਂ ਨੂੰ ਸਥਾਪਿਤ ਕਰਦੀਆਂ ਹਨ।

ਦੂਸ਼ਿਤ ਇੰਸਟਾਲਰ, ਜੋ ਕਿ ਡਿਜ਼ੀਟਲ ਤੌਰ 'ਤੇ ਹਸਤਾਖਰਿਤ ਹਨ, ਇੱਕ ਅਨੁਸੂਚਿਤ ਕਾਰਜ ਸੈਟ ਅਪ ਕਰਦੇ ਹਨ ਜੋ ਇੱਕ PowerShell ਸਕ੍ਰਿਪਟ ਨੂੰ ਚਾਲੂ ਕਰਦਾ ਹੈ। ਇਹ ਸਕ੍ਰਿਪਟ ਰਿਮੋਟ ਸਰਵਰ ਤੋਂ ਅਗਲੇ ਪੜਾਅ ਦੇ ਪੇਲੋਡ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਅਤੇ ਚਲਾਉਣ ਲਈ ਜਵਾਬਦੇਹ ਹੈ।

ਹਮਲਾਵਰ ਸਮਝੌਤਾ ਕੀਤੇ ਡਿਵਾਈਸਾਂ 'ਤੇ ਨਵੇਂ ਬ੍ਰਾਊਜ਼ਰ ਸਥਾਪਤ ਕਰਦੇ ਹਨ

ਇਸ ਵਿੱਚ Chrome ਵੈੱਬ ਸਟੋਰ ਅਤੇ Microsoft Edge ਐਡ-ਆਨ ਤੋਂ ਐਕਸਟੈਂਸ਼ਨਾਂ ਦੇ ਸੰਮਿਲਨ ਨੂੰ ਲਾਗੂ ਕਰਨ ਲਈ ਵਿੰਡੋਜ਼ ਰਜਿਸਟਰੀ ਨੂੰ ਬਦਲਣਾ ਸ਼ਾਮਲ ਹੈ, ਜੋ ਕਿ Google ਅਤੇ Microsoft Bing 'ਤੇ ਖੋਜ ਸਵਾਲਾਂ ਨੂੰ ਹਾਈਜੈਕ ਕਰ ਸਕਦਾ ਹੈ, ਉਹਨਾਂ ਨੂੰ ਹਮਲਾਵਰਾਂ ਦੁਆਰਾ ਨਿਯੰਤਰਿਤ ਸਰਵਰਾਂ ਦੁਆਰਾ ਰੀਡਾਇਰੈਕਟ ਕਰ ਸਕਦਾ ਹੈ।

ਐਕਸਟੈਂਸ਼ਨ ਨੂੰ ਡਿਲੀਟ ਨਾ ਕਰਨ ਯੋਗ ਬਣਾਉਣ ਲਈ ਡਿਜ਼ਾਇਨ ਕੀਤਾ ਗਿਆ ਹੈ, ਭਾਵੇਂ ਕਿ ਡਿਵੈਲਪਰ ਮੋਡ ਸਮਰਥਿਤ ਹੋਵੇ। ਸਕ੍ਰਿਪਟ ਦੇ ਤਾਜ਼ਾ ਸੰਸਕਰਣ ਬ੍ਰਾਊਜ਼ਰ ਅੱਪਡੇਟ ਨੂੰ ਵੀ ਅਸਮਰੱਥ ਬਣਾਉਂਦੇ ਹਨ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਇਹ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਤੋਂ ਸਿੱਧੇ ਡਾਉਨਲੋਡ ਕੀਤੇ ਇੱਕ ਸਥਾਨਕ ਐਕਸਟੈਂਸ਼ਨ ਨੂੰ ਤੈਨਾਤ ਕਰਦਾ ਹੈ, ਜੋ ਸਾਰੀਆਂ ਵੈਬ ਬੇਨਤੀਆਂ ਨੂੰ ਰੋਕਣ, ਉਹਨਾਂ ਨੂੰ ਸਰਵਰ ਨਾਲ ਰੀਲੇਅ ਕਰਨ, ਕਮਾਂਡਾਂ ਅਤੇ ਏਨਕ੍ਰਿਪਟਡ ਸਕ੍ਰਿਪਟਾਂ ਨੂੰ ਚਲਾਉਣ ਅਤੇ ਹਰ ਵੈਬ ਪੇਜ ਵਿੱਚ ਸਕ੍ਰਿਪਟਾਂ ਨੂੰ ਇੰਜੈਕਟ ਕਰਨ ਲਈ ਵਿਆਪਕ ਸਮਰੱਥਾਵਾਂ ਨਾਲ ਲੈਸ ਹੈ।

ਇਸ ਤੋਂ ਇਲਾਵਾ, ਇਹ Ask.com, Bing, ਅਤੇ Google ਤੋਂ ਖੋਜ ਸਵਾਲਾਂ ਨੂੰ ਹਾਈਜੈਕ ਕਰਦਾ ਹੈ, ਉਹਨਾਂ ਨੂੰ ਦੂਜੇ ਖੋਜ ਇੰਜਣਾਂ 'ਤੇ ਭੇਜਣ ਤੋਂ ਪਹਿਲਾਂ ਉਹਨਾਂ ਨੂੰ ਆਪਣੇ ਸਰਵਰਾਂ ਰਾਹੀਂ ਮੁੜ ਰੂਟ ਕਰਦਾ ਹੈ।

ਪ੍ਰਭਾਵਿਤ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਕਾਰਵਾਈ ਕਰਨੀ ਚਾਹੀਦੀ ਹੈ

ਮਾਲਵੇਅਰ ਹਮਲੇ ਤੋਂ ਪ੍ਰਭਾਵਿਤ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਇਸ ਮੁੱਦੇ ਨੂੰ ਘਟਾਉਣ ਲਈ ਹੇਠਾਂ ਦਿੱਤੇ ਕਦਮ ਚੁੱਕਣੇ ਚਾਹੀਦੇ ਹਨ:

• ਨਿਯਤ ਕਾਰਜ ਨੂੰ ਮਿਟਾਓ ਜੋ ਮਾਲਵੇਅਰ ਨੂੰ ਰੋਜ਼ਾਨਾ ਮੁੜ ਸਰਗਰਮ ਕਰਦਾ ਹੈ।
• ਸੰਬੰਧਿਤ ਰਜਿਸਟਰੀ ਕੁੰਜੀਆਂ ਨੂੰ ਹਟਾਓ।
• ਸਿਸਟਮ ਤੋਂ ਹੇਠ ਲਿਖੀਆਂ ਫਾਈਲਾਂ ਅਤੇ ਫੋਲਡਰਾਂ ਨੂੰ ਮਿਟਾਓ:

C:\Windows\system32\Privacyblockerwindows.ps1

C:\Windows\system32\Windowsupdater1.ps1

C:\Windows\system32\WindowsUpdater1Script.ps1

C:\Windows\system32\Optimizerwindows.ps1

C:\Windows\system32\Printworkflowservice.ps1

C:\Windows\system32\NvWinSearchOptimizer.ps1 (2024 ਸੰਸਕਰਣ)

C:\Windows\system32\kondserp_optimizer.ps1 (ਮਈ 2024 ਸੰਸਕਰਣ)

C:\Windows\InternalKernelGrid

C:\Windows\InternalKernelGrid3

C:\Windows\InternalKernelGrid4

C:\Windows\ShellServiceLog

C:\windows\privacyprotectorlog

C:\Windows\NvOptimizerLog

ਇਸ ਤਰ੍ਹਾਂ ਦਾ ਹਮਲਾ ਬੇਮਿਸਾਲ ਨਹੀਂ ਹੈ। ਦਸੰਬਰ 2023 ਵਿੱਚ, ਇੱਕ ਅਜਿਹੀ ਹੀ ਮੁਹਿੰਮ ਦੀ ਰਿਪੋਰਟ ਕੀਤੀ ਗਈ ਸੀ, ਜਿਸ ਵਿੱਚ ਟੋਰੈਂਟਸ ਦੁਆਰਾ ਵੰਡਿਆ ਗਿਆ ਇੱਕ ਟਰੋਜਨ ਇੰਸਟਾਲਰ ਸ਼ਾਮਲ ਸੀ। ਇਹ ਇੰਸਟਾਲਰ ਇੱਕ VPN ਐਪ ਦੇ ਰੂਪ ਵਿੱਚ ਭੇਸ ਵਿੱਚ ਸੀ ਪਰ ਅਸਲ ਵਿੱਚ ਇੱਕ 'ਕੈਸ਼ਬੈਕ ਸਰਗਰਮੀ ਹੈਕ' ਨੂੰ ਚਲਾਉਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਸੀ।