பாதுகாப்பு அவசியம்: ‘குரோம் அப்டேட்’ பெயரில் நமது தனிப்பட்ட தகவல்களை திருடும் புதியவகை மால்வேர்..!
சைபர்கிரைம் மற்றும் பல போலியான மென்பொருள்களிலிருந்து மக்களின் தரவுகளை பாதுகாக்கும் நிறுவனமான ‘ப்ரூஃப்பாயிண்ட்‘ (Proofpoint) சமீபத்தில் அறிவிப்பு ஒன்றை வெளியிட்டுள்ளது. அந்த அறிவிப்பில், உங்கள் ப்ரவுசரை புதுப்பித்துக் கொள்ளுங்கள் (Browser Updates) என்ற பாப்அப் உடன் பல்வேறு வகையான மால்வேர் (Malwares) மென்பொருள்களை பயன்படுத்தி உங்கள் கணினிகளில் உள்ள தனிப்பட்ட தரவுகள் திருடப்படுகின்றன என்று எச்சரித்துள்ளது.
FakeUpdateRU: New Malware Camouflaged as Fake Chrome Updatehttps://t.co/hUGFGrbUTD
–via Cyware Social— DCI CyberSec News (@DCICyberSecNews) October 27, 2023
இத்தகைய மால்வேர் தாக்குதலுக்கு பாதிப்புக்குள்ளாக்கப்பட்ட வலைத்தளங்கள் அனைத்தும், கிளியர்ஃபேக் (ClearFake) என்று அழைக்கப்படுகின்ற அடுத்தகட்ட மால்வேர் தாக்குதல்களுக்கு உள்ளாக்கப்படுகின்றன. மேலும் இவ்வாறு மால்வேர் தாக்குதலை ஏற்படுத்தும் பெரும்பாலான தளங்கள் கூகுள் நிறுவனத்தால் விரைவாக அகற்றப்பட்டும் வருகின்றன.
மால்வேர் தாக்குதல் எவ்வாறு நடைபெறுகிறது?
பயனர் ஒருவர் இணையதளத்தில் ஒரு பக்கத்தை (site) பார்வையிட முயற்சிக்கும் போது, நீங்கள் “குரோம் ப்ரவுசரின் (Chrome Browser) பழைய பதிப்பை பயன்படுத்துகிறீர்கள். உங்களுடைய ப்ரவுசரைப் புதுப்பித்துக்கொள்ளுங்கள்” என்று முதலில் ஒரு பாப்அப் (Popup) தோன்றும். இந்த போலியான புதுப்பிப்பை உண்மை என்று நினைத்து பயனர் கிளிக் செய்யும் போது, உங்கள் தனிப்பட்ட தகவலைத் திருடுவதற்காக வடிவமைக்கப்பட்ட மால்வேர் மென்பொருள் உங்கள் கணினியில் உடனே பதிவேற்றப்படும்.
மேலும் Proofpoint அறிவித்துள்ள எச்சரிக்கையில், இந்த புதியவகை ‘ClearFake’ மால்வேரானது பல்வேறு மொழிகளில் மொழிபெயர்க்கப்பட்டுள்ளதால், பயனாளியின் மொழிக்கேற்ப இது கணினிகளில் பொருந்திக்கொள்கிறது என்று குறிப்பிட்டுள்ளது. இதன் மூலம் போலியான குரோம் புதுப்பிப்புப் பக்கம் (Chrome Browser Update Page) உண்மையானதைப் போலவே பயனாளிகளுக்கு காட்சியளிக்கிறது.
மேலும் இது குறித்து ஆய்வு செய்ததில், இந்த மால்வேர் மென்பொருளானது, ransomware தாக்குதல்களுக்கு பெயர் பெற்ற Zgrat மற்றும் Redline Stealer வகை மால்வேர் குடும்பங்களைச் சேர்ந்தது என்பதை அறிய முடிந்தது. இது ஒரு remote access trojan எனப்படுகின்ற RAT வகை ட்ரோஜன் மென்பொருள் ஆகும். குறிப்பாக, இந்த மால்வேர் மென்பொருள்கள் Google-ன் UK இணையதளத்தின் ஆங்கிலப் பதிப்பிலிருந்து பெறப்பட்ட தெளிவான HTML குறியீடுகளுடன் (codes) காணப்படுகின்றன. இதன் மூலம் ஹேக்கர்கள் Chrome (Chromium அடிப்படையிலான) ப்ரவுசரைப் பயன்படுத்தி இந்த மால்வேர்களை உருவாக்குகிறார்கள் என்பதை இது காட்டுகிறது.
இந்த மால்வேர் தாக்குதலானது, Chrome ஐப் பயன்படுத்தும் பயனர்களின் கணினிகளில் மட்டும் நடைபெறுவதில்லை. Chrome ஐப் பயன்படுத்தாத பயனர்களுக்கு கூட, பல ரஷ்ய சொற்களை உருவாக்கி இந்த மால்வேர் மென்பொருள்களில் சேர்த்து தாக்குதலுக்கு உட்படுத்துகின்றனர். ஆனால் தற்போது உள்ள மால்வேர்களின் சில புதிய பதிப்புகளில், பெரும்பாலான ரஷ்ய சொற்கள், போலியான அப்டேட் பக்கங்களில் இருந்து நீக்கப்பட்டுள்ளன. இதன் மூலம் ஹேக்கர்கள் தங்களுடைய உத்திகளை மாற்றிக்கொண்டிருக்கிறார்கள் என்பது தெளிவாகிறது.
இந்தக் மால்வேர் HTML குறியீட்டின் காரணமாக, உங்கள் கடைசிப் பதிவிறக்க URL- ஐப் (download URL) நீங்கள் கிளிக் செய்யும் போது, Chrome Themed domain மூலம் உங்கள் Chrome-ஐப் போன்றே சில மாறுதல்களுடன் உள்ள ஒரு இணையதளத்திற்கு இது கூட்டிச் செல்கிறது. இங்கு பாப்அப் செய்தி வருவதால், பயனர்கள் தங்கள் ப்ரவுசரை புதுப்பிக்க வேண்டும் என்று நினைக்கும் வகையில், ஹேக்கர்கள் போலியான அப்டேட் பக்கத்தில் உள்ள சில வார்த்தைகளை மாற்றியுள்ளனர், அதாவது ‘பதிவிறக்கம்’ (download) என்பதற்கு பதில் ‘புதுப்பிப்பு’ (Update) என்று மாற்றியுள்ளனர். இதன் மூலம் பயனாளிகள் நூதன முறையில் ஏமாற்றப்படுகின்றனர் என்பதை அறிய முடிகிறது. மேலும் இது வரையில் எத்தனைவகையான பாதிக்கப்பட்ட இணையதளங்கள் உள்ளன என்பதைப் பற்றிய தகவல்களை Google Tag Manager மூலம் அறிந்து கொள்ள முடியும்.
இந்த மால்வேர் தாக்குதல்கள், வேர்ட்பிரஸ் (WordPress) தளங்கள் மற்றும் CMS என இரண்டையும் பின்வரும் வழிகளில் பாதிக்கிறது என்று சுகுரி (Sucuri) ஆராய்ச்சியாளர்கள் தெரிவித்துள்ளனர்.
1 . மால்வெர் மென்பொருள்கள், key index.php file என்று சொல்லப்படுகின்ற இணையதள உள்ளடக்கங்களை overwrite செய்து உள்நுழைகின்றன.
2. சில சந்தர்ப்பங்களில் wp-content file-களில் உள்ள index.html மூலமும் மால்வெர் மென்பொருள்களை செலுத்துகின்றனர்.
3. டெலிகிராம் சேனலுடன் தொடர்பு கொள்ள பயன்படுத்தப்படும் ஜாவா ஸ்கிரிப்ட் (Java Script) மூலமும் மால்வெர் தாக்குதல்களை நடத்துகின்றனர்.
4. பயனர்கள் பேலோடுகளை (payloads) எப்போது பதிவிறக்கம் செய்கிறார்கள் என்பதை, அறிவிப்புகள் (Notifications) மூலம் அறிய, மால்வெர் ஹேக்கர்கள் டெலிகிராமைப் பரவலாக பயன்படுத்துகின்றனர்.
மேலும் இது போன்ற தாக்குதல்களை தவிர்க்க, பயனர்கள் Google Chrome –ன் சமீபத்திய பதிப்பைத் (Latest Version) தான் பயன்படுத்திக்கொள்கிறார்களா என்பதையும் கீழே உள்ள வழிமுறைகளின் மூலம் அடிக்கடி உறுதிப்படுத்திக்கொள்ள வேண்டும். இது தவிர மற்ற பாப்அப் அறிவிப்புகள் மூலம் கூகுள் குரோம் பிரவுசர்களை புதுப்பித்துக்கொள்வதை தவிர்க்க வேண்டியது அவசியமானது.
1) Chrome இணையதளப்பக்கத்தின் மேல் வலது மூலையில் உள்ள மூன்று புள்ளிகளை (Settings Icon) கிளிக் செய்ய வேண்டும்.
2) பின்னர் அதற்கு கீழே உள்ள மெனுவில் settings-ஐத் தேர்ந்தெடுக்க வேண்டும்.
3) அங்கு ‘About Chrome’ -ஐ கிளிக் செய்து இடதுபக்கத்தில் குரோம் குறித்த தகவல்களை பார்க்க வேண்டும். இது Chrome புதுப்பிக்கப்பட்ட நிலையில் உள்ளதா என்பதைச் சரிபார்க்கும். மேலும் புதிய குரோம் ப்ரவுசர் பதிப்பானது (New Version) பயன்பாட்டுக்கு வந்தால், அதை இங்கே பதிவிறக்கம் (download) செய்து கொள்ளும் வாய்ப்பும் இங்கே வழங்கப்படுகிறது.
இது தவிர கூகுளுடன் இணைக்கப்பட்டுள்ள பின்வரும் மென்பொருள்களை (third party programs) பயன்படுத்தியும் நமது தனிப்பட்ட தரவுகளை கணினிகளில் பாதுகாத்துக்கொள்ளலாம்
- ஸ்பைவேர் டாக்டர் ( Spyware Doctor )
- நார்டன் இன்டர்நெட் செக்யூரிட்டி (Norton Internet Security)
- லாவாசாஃப்ட் ஆட்-அவேர் (Lavasoft Ad-Aware)
- மாக்ஸ்கேன் (MacScan)
ஆதாரங்கள்:
https://cybersecuritynews.com/beware-of-fake-google-chrome-update
https://x.com/dcicybersecnews/status/1717912493035606091?s=46&t=kIszbQH_arRSG8kPbuGeZw