పొడిగింపు ట్రోజన్ మాల్వేర్

పెద్ద ఎత్తున మాల్వేర్ ప్రచారం కనుగొనబడింది. ఇది ప్రముఖ సాఫ్ట్‌వేర్‌గా చూపుతూ నకిలీ వెబ్‌సైట్‌ల ద్వారా పంపిణీ చేయబడిన ట్రోజన్ ద్వారా మోసపూరిత Google Chrome మరియు Microsoft Edge పొడిగింపులను ఇన్‌స్టాల్ చేయడం ద్వారా వినియోగదారులను లక్ష్యంగా చేసుకుంటుంది. ట్రోజన్ శోధనలను హైజాక్ చేసే ప్రాథమిక యాడ్‌వేర్ పొడిగింపుల నుండి వ్యక్తిగత డేటాను సేకరించేందుకు మరియు వివిధ ఆదేశాలను అమలు చేయడానికి రూపొందించిన స్థానిక పొడిగింపులను ఇన్‌స్టాల్ చేసే మరింత అధునాతన అసురక్షిత స్క్రిప్ట్‌ల వరకు అనేక రకాల పేలోడ్‌లను అమలు చేస్తుంది. 2021 నుండి క్రియాశీలంగా ఉన్న ఈ ట్రోజన్, ఆన్‌లైన్ గేమ్‌లు మరియు వీడియోల కోసం యాడ్-ఆన్‌లను అందించే నకిలీ డౌన్‌లోడ్ వెబ్‌సైట్‌ల నుండి ఉద్భవించింది.

వందల వేల మంది ప్రభావిత వినియోగదారులు

మాల్వేర్ మరియు దాని అనుబంధ పొడిగింపులు Google Chrome మరియు Microsoft Edgeలో 300,000 మంది వినియోగదారులపై ప్రభావం చూపాయి, ఇది ముప్పు యొక్క విస్తృత స్వభావాన్ని ప్రదర్శిస్తుంది.

Roblox FPS అన్‌లాకర్, YouTube, VLC మీడియా ప్లేయర్, స్టీమ్ లేదా కీపాస్ వంటి ప్రసిద్ధ సాఫ్ట్‌వేర్‌లను అనుకరించే మోసపూరిత వెబ్‌సైట్‌లకు వినియోగదారులను మళ్లించడానికి మాల్వర్టైజింగ్‌ని ఉపయోగించడం ఈ ప్రచారానికి ప్రధానమైనది. ఈ సైట్‌లు ఈ ప్రోగ్రామ్‌ల కోసం శోధిస్తున్న వినియోగదారులను ట్రోజన్‌ని డౌన్‌లోడ్ చేసేలా మోసగిస్తాయి, అది మోసపూరిత బ్రౌజర్ పొడిగింపులను ఇన్‌స్టాల్ చేస్తుంది.

డిజిటల్‌గా సంతకం చేయబడిన పాడైన ఇన్‌స్టాలర్‌లు, పవర్‌షెల్ స్క్రిప్ట్‌ను ట్రిగ్గర్ చేసే షెడ్యూల్ చేసిన పనిని సెటప్ చేస్తాయి. రిమోట్ సర్వర్ నుండి తదుపరి దశ పేలోడ్‌ను డౌన్‌లోడ్ చేయడం మరియు అమలు చేయడం కోసం ఈ స్క్రిప్ట్ బాధ్యత వహిస్తుంది.

దాడి చేసేవారు రాజీపడిన పరికరాలలో కొత్త బ్రౌజర్‌లను ఇన్‌స్టాల్ చేస్తారు

Chrome వెబ్ స్టోర్ మరియు Microsoft Edge యాడ్-ఆన్‌ల నుండి పొడిగింపుల చొప్పించడాన్ని అమలు చేయడానికి Windows రిజిస్ట్రీని మార్చడం ఇందులో ఉంటుంది, ఇది Google మరియు Microsoft Bingలో శోధన ప్రశ్నలను హైజాక్ చేయగలదు, దాడి చేసే వారిచే నియంత్రించబడే సర్వర్‌ల ద్వారా వాటిని దారి మళ్లిస్తుంది.

డెవలపర్ మోడ్ ప్రారంభించబడినప్పటికీ, పొడిగింపు తొలగించలేని విధంగా రూపొందించబడింది. స్క్రిప్ట్ యొక్క ఇటీవలి సంస్కరణలు బ్రౌజర్ నవీకరణలను కూడా నిలిపివేస్తాయి. అదనంగా, ఇది కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్ నుండి నేరుగా డౌన్‌లోడ్ చేయబడిన స్థానిక పొడిగింపును అమలు చేస్తుంది, అన్ని వెబ్ అభ్యర్థనలను అడ్డగించడానికి, వాటిని సర్వర్‌కు ప్రసారం చేయడానికి, ఆదేశాలు మరియు ఎన్‌క్రిప్టెడ్ స్క్రిప్ట్‌లను అమలు చేయడానికి మరియు ప్రతి వెబ్ పేజీకి స్క్రిప్ట్‌లను ఇంజెక్ట్ చేయడానికి విస్తృతమైన సామర్థ్యాలను కలిగి ఉంటుంది.

ఇంకా, ఇది Ask.com, Bing మరియు Google నుండి శోధన ప్రశ్నలను హైజాక్ చేస్తుంది, వాటిని ఇతర శోధన ఇంజిన్‌లకు పంపే ముందు వాటిని దాని సర్వర్‌ల ద్వారా రీరూట్ చేస్తుంది.

బాధిత వినియోగదారులు చర్య తీసుకోవాలి

మాల్వేర్ దాడి ద్వారా ప్రభావితమైన వినియోగదారులు సమస్యను తగ్గించడానికి క్రింది దశలను తీసుకోవాలి:

• ప్రతిరోజూ మాల్వేర్‌ను మళ్లీ సక్రియం చేసే షెడ్యూల్ చేసిన టాస్క్‌ను తొలగించండి.
• సంబంధిత రిజిస్ట్రీ కీలను తీసివేయండి.
• సిస్టమ్ నుండి కింది ఫైల్‌లు మరియు ఫోల్డర్‌లను తొలగించండి:

సి:\Windows\system32\Privacyblockerwindows.ps1

సి:\Windows\system32\Windowsupdater1.ps1

సి:\Windows\system32\WindowsUpdater1Script.ps1

సి:\Windows\system32\Optimizerwindows.ps1

సి:\Windows\system32\Printworkflowservice.ps1

సి:\Windows\system32\NvWinSearchOptimizer.ps1 (2024 వెర్షన్)

సి:\Windows\system32\kondserp_optimizer.ps1 (మే 2024 వెర్షన్)

సి:\Windows\InternalKernelGrid

సి:\Windows\InternalKernelGrid3

సి:\Windows\InternalKernelGrid4

సి:\Windows\ShellServiceLog

C:\windows\privacyprotectorlog

సి:\Windows\NvOptimizerLog

ఈ రకమైన దాడి అపూర్వమైనది కాదు. డిసెంబర్ 2023లో, టొరెంట్ల ద్వారా పంపిణీ చేయబడిన ట్రోజన్ ఇన్‌స్టాలర్‌తో కూడిన ఇలాంటి ప్రచారం నివేదించబడింది. ఈ ఇన్‌స్టాలర్ VPN యాప్ వలె మారువేషంలో ఉంది కానీ వాస్తవానికి 'క్యాష్‌బ్యాక్ యాక్టివిటీ హ్యాక్'ని అమలు చేయడానికి రూపొందించబడింది.