நீட்டிப்பு ட்ரோஜன் மால்வேர்
பெரிய அளவிலான தீம்பொருள் பிரச்சாரம் கண்டறியப்பட்டது. இது பிரபலமான மென்பொருளாகக் காட்டி போலி இணையதளங்கள் மூலம் விநியோகிக்கப்பட்ட ட்ரோஜன் மூலம் மோசடியான கூகுள் குரோம் மற்றும் மைக்ரோசாஃப்ட் எட்ஜ் நீட்டிப்புகளை நிறுவுவதன் மூலம் பயனர்களை குறிவைக்கிறது. தேடல்களைக் கடத்தும் அடிப்படை ஆட்வேர் நீட்டிப்புகள் முதல் தனிப்பட்ட தரவைச் சேகரித்து பல்வேறு கட்டளைகளைச் செயல்படுத்த வடிவமைக்கப்பட்ட உள்ளூர் நீட்டிப்புகளை நிறுவும் மேம்பட்ட பாதுகாப்பற்ற ஸ்கிரிப்ட்கள் வரை பலவிதமான பேலோடுகளை ட்ரோஜன் பயன்படுத்துகிறது. 2021 ஆம் ஆண்டு முதல் செயலில் உள்ள இந்த ட்ரோஜன், ஆன்லைன் கேம்கள் மற்றும் வீடியோக்களுக்கான துணை நிரல்களை வழங்கும் போலி பதிவிறக்க இணையதளங்களில் இருந்து உருவானது.
பொருளடக்கம்
பாதிக்கப்பட்ட நூறாயிரக்கணக்கான பயனர்கள்
தீம்பொருள் மற்றும் அதனுடன் தொடர்புடைய நீட்டிப்புகள் Google Chrome மற்றும் Microsoft Edge இல் 300,000 பயனர்களை பாதித்துள்ளன, இது அச்சுறுத்தலின் பரவலான தன்மையை நிரூபிக்கிறது.
இந்த பிரச்சாரத்தின் மையமானது, Roblox FPS Unlocker, YouTube, VLC media player, Steam அல்லது KeePass போன்ற நன்கு அறியப்பட்ட மென்பொருளைப் பிரதிபலிக்கும் ஏமாற்றும் வலைத்தளங்களுக்கு பயனர்களை வழிநடத்தும் தவறான விளம்பரத்தைப் பயன்படுத்துவதாகும். இந்தத் தளங்கள், இந்தத் திட்டங்களைத் தேடும் பயனர்களை ட்ரோஜனைப் பதிவிறக்கம் செய்யும்படி ஏமாற்றி, மோசடியான உலாவி நீட்டிப்புகளை நிறுவுகிறது.
டிஜிட்டல் கையொப்பமிடப்பட்ட சிதைந்த நிறுவிகள், பவர்ஷெல் ஸ்கிரிப்டைத் தூண்டும் திட்டமிடப்பட்ட பணியை அமைக்கின்றன. ரிமோட் சர்வரிலிருந்து அடுத்த கட்ட பேலோடை பதிவிறக்கம் செய்து செயல்படுத்துவதற்கு இந்த ஸ்கிரிப்ட் பொறுப்பாகும்.
தாக்குபவர்கள் சமரசம் செய்யப்பட்ட சாதனங்களில் புதிய உலாவிகளை நிறுவுகின்றனர்
Chrome Web Store மற்றும் Microsoft Edge add-ons இலிருந்து நீட்டிப்புகளைச் செருகுவதற்கு Windows Registry ஐ மாற்றியமைப்பது இதில் அடங்கும், இது Google மற்றும் Microsoft Bing இல் தேடல் வினவல்களைக் கடத்தும், தாக்குபவர்களால் கட்டுப்படுத்தப்படும் சேவையகங்கள் மூலம் அவற்றைத் திருப்பிவிடும்.
டெவலப்பர் பயன்முறை இயக்கப்பட்டிருந்தாலும், நீட்டிப்பு நீக்க முடியாததாக வடிவமைக்கப்பட்டுள்ளது. ஸ்கிரிப்ட்டின் சமீபத்திய பதிப்புகள் உலாவி புதுப்பிப்புகளையும் முடக்குகின்றன. கூடுதலாக, இது கட்டளை மற்றும் கட்டுப்பாடு (C2) சேவையகத்திலிருந்து நேரடியாக பதிவிறக்கம் செய்யப்பட்ட உள்ளூர் நீட்டிப்பைப் பயன்படுத்துகிறது, அனைத்து வலை கோரிக்கைகளையும் இடைமறித்து, அவற்றை சேவையகத்திற்கு அனுப்பவும், கட்டளைகள் மற்றும் மறைகுறியாக்கப்பட்ட ஸ்கிரிப்ட்களை இயக்கவும் மற்றும் ஒவ்வொரு வலைப்பக்கத்திலும் ஸ்கிரிப்ட்களை உட்செலுத்தவும் விரிவான திறன்களைக் கொண்டுள்ளது.
மேலும், இது Ask.com, Bing மற்றும் Google இலிருந்து தேடல் வினவல்களை அபகரிக்கிறது, மற்ற தேடுபொறிகளுக்கு அனுப்பும் முன், அதன் சேவையகங்கள் மூலம் அவற்றை மாற்றுகிறது.
பாதிக்கப்பட்ட பயனர்கள் நடவடிக்கை எடுக்க வேண்டும்
தீம்பொருள் தாக்குதலால் பாதிக்கப்பட்ட பயனர்கள் சிக்கலைத் தணிக்க பின்வரும் நடவடிக்கைகளை எடுக்க வேண்டும்:
- தினசரி தீம்பொருளை மீண்டும் இயக்கும் திட்டமிடப்பட்ட பணியை நீக்கவும்.
- தொடர்புடைய ரெஜிஸ்ட்ரி கீகளை அகற்றவும்.
- கணினியிலிருந்து பின்வரும் கோப்புகள் மற்றும் கோப்புறைகளை நீக்கவும்:
C:\Windows\system32\Privacyblockerwindows.ps1
C:\Windows\system32\Windowsupdater1.ps1
C:\Windows\system32\WindowsUpdater1Script.ps1
C:\Windows\system32\Optimizerwindows.ps1
C:\Windows\system32\Printworkflowservice.ps1
C:\Windows\system32\NvWinSearchOptimizer.ps1 (2024 பதிப்பு)
சி:\Windows\system32\kondserp_optimizer.ps1 (மே 2024 பதிப்பு)
C:\Windows\InternalKernelGrid
C:\Windows\InternalKernelGrid3
C:\Windows\InternalKernelGrid4
C:\Windows\ShellServiceLog
C:\windows\privacyprotectorlog
C:\Windows\NvOptimizerLog
இந்த வகையான தாக்குதல் முன்னெப்போதும் இல்லாதது அல்ல. டிசம்பர் 2023 இல், இதேபோன்ற பிரச்சாரம் டோரண்ட்கள் மூலம் விநியோகிக்கப்படும் ட்ரோஜன் நிறுவியை உள்ளடக்கியது. இந்த நிறுவி VPN பயன்பாடாக மாறுவேடமிடப்பட்டது, ஆனால் உண்மையில் 'கேஷ்பேக் ஆக்டிவிட்டி ஹேக்கை' செயல்படுத்த வடிவமைக்கப்பட்டுள்ளது.
