فيروس الوكيل

يعد Proxy Virus، والذي يشار إليه أيضًا باسم MITM Proxy Virus، أحد أنواع البرامج المتطفلة التي تستهدف مستخدمي Mac. يشتهر التطبيق بوظائف اختطاف المتصفح. يستخدم مجرمو الإنترنت تقنيات توزيع مشكوك فيها لنشر هذا البرنامج غير المرغوب فيه (PUP)، مما يؤدي غالبًا إلى التسلل الصامت إلى أجهزة الكمبيوتر دون موافقة صريحة من المستخدمين. من الضروري أن يدرك المستخدمون أن PUPs، مثل Proxy Virus، يمكن أن تعمل كبرامج إعلانية، حيث تقصف المستخدمين بإعلانات متطفلة. بالإضافة إلى ذلك، فهي عرضة لتسجيل نشاط التصفح، مما قد يعرض خصوصية المستخدمين وأمانهم للخطر.

كيف يعمل فيروس الوكيل بمجرد تثبيته؟

يبدو التثبيت الأولي لبرامج الإعلانات المتسللة أمرًا روتينيًا، ولكن عند التثبيت، يواجه المستخدمون رسالة منبثقة خادعة تطالبهم بتحديث متصفح الويب Safari الخاص بهم. عند النقر فوق "موافق"، تطلب نافذة منبثقة أخرى من المستخدمين إدخال بيانات اعتماد حساباتهم. قد يؤدي هذا الإجراء الذي يبدو غير ضار إلى منح ترخيص التطبيق المشكوك فيه عن غير قصد للتحكم في متصفح Safari.

علاوة على ذلك، يقوم المثبتون المحتالون بتنفيذ "نص bash" المصمم للاتصال بخادم بعيد وتنزيل أرشيف بتنسيق .zip. بمجرد التنزيل، يتم استخراج الأرشيف، ويتم نسخ ملف .plist الموجود بداخله إلى دليل LaunchDaemons.

يحتوي ملف .plist على مرجع إلى ملف آخر يسمى "Titanium.Web.Proxy.Examples.Basic.Standard." بالإضافة إلى ذلك، يتم تنفيذ نصين برمجيين إضافيين ('change_proxy.sh' و'trust_cert.sh') بعد إعادة التشغيل اللاحقة. يقوم البرنامج النصي "change_proxy.sh" بتغيير إعدادات وكيل النظام لاستخدام وكيل HTTP/S في "المضيف المحلي: 8003".

ومن ناحية أخرى، يقوم البرنامج النصي "trust_cert.sh" بتثبيت شهادة SSL موثوقة في سلسلة المفاتيح. يتم تنسيق هذه العدوى من قبل مجرمي الإنترنت الذين يستفيدون من Titanium Web Proxy، وهو وكيل HTTP(S) مفتوح المصدر غير متزامن ومكتوب بلغة C Sharp (C#). والجدير بالذكر أن Titanium Web Proxy عبارة عن منصة مشتركة، مما يسمح له بالعمل على أنظمة تشغيل مختلفة، بما في ذلك MacOS.

الهدف الأساسي من هذه العدوى هو اختطاف محركات البحث، وتمكين مجرمي الإنترنت من التلاعب بنتائج البحث على الإنترنت. ينحرف هذا النهج عن الاستخدام التقليدي لمحركات البحث المزيفة؛ وبدلاً من ذلك، يستفيد مجرمو الإنترنت من تطبيقات اختراق المتصفح لتعديل الإعدادات مثل عنوان URL لعلامة التبويب الجديدة ومحرك البحث الافتراضي والصفحة الرئيسية عن طريق تعيينها إلى عناوين URL محددة.

غالبًا ما تؤدي محركات البحث المزيفة وخاطفي المتصفحات إلى زيادة مخاطر الخصوصية والأمان

غالبًا ما تحاكي مواقع الويب التي يتم الترويج لها مظهر محركات البحث المعروفة والشرعية مثل Bing وYahoo وGoogle، مما يجعلها تبدو عادية للوهلة الأولى. ومع ذلك، يمكن لمحركات البحث المزيفة هذه إنشاء نتائج بحث توجه المستخدمين إلى مواقع ويب قد تكون غير آمنة. بالإضافة إلى ذلك، قد يلاحظ المستخدمون تغييرات في إعدادات المتصفح، خاصة من خلال عمليات إعادة التوجيه المتكررة إلى مواقع مشكوك فيها، مما يشير إلى احتمال التلاعب.

بينما يواجه مجرمو الإنترنت تحديات في استخدام أدوات مثل Proxy Virus، إلا أنهم يجدونها أكثر موثوقية في أنشطتهم الشائنة. وقد يلجأون أيضًا إلى تعديل محتوى محركات البحث الشرعية لتقديم نتائج بحث مزيفة. على سبيل المثال، على الرغم من أن موقع الويب الخاص بمحرك بحث Google يبدو أصليًا بالكامل، بما في ذلك عنوان URL والرأس والتذييل، فإن العدوى تغير قسم النتائج، مما يخدع المستخدمين للاعتقاد بأنهم يشاهدون نتائج بحث مشروعة.

يمكن أن يؤدي هذا السلوك المخادع إلى تعريض المستخدمين للعديد من الإصابات عالية الخطورة حيث قد يقومون بزيارة مواقع الويب غير الآمنة عن غير قصد. علاوة على ذلك، يستغل مجرمو الإنترنت مثل هذه الأساليب لتوجيه حركة المرور إلى مواقع ويب محددة، مما يمكنهم من تحقيق الربح من خلال عائدات الإعلانات.

قد يؤدي وجود Proxy Virus إلى تعطيل تجربة التصفح بشدة وزيادة احتمالية حدوث المزيد من إصابات الكمبيوتر. عادةً ما تقدم تطبيقات برامج الإعلانات المتسللة إعلانات، بما في ذلك القسائم واللافتات والنوافذ المنبثقة، والتي قد تعيد توجيه المستخدمين إلى مواقع ويب مشبوهة.

علاوة على ذلك، قد تتمتع برامج الإعلانات المتسللة بالقدرة على جمع معلومات المستخدم الحساسة مثل عناوين IP وعناوين URL لمواقع الويب التي تمت زيارتها والصفحات المعروضة واستعلامات البحث. غالبًا ما تتم مشاركة هذه البيانات مع أطراف ثالثة، بما في ذلك مجرمي الإنترنت، الذين يستغلونها لتحقيق مكاسب مالية. وبالتالي، فإن التتبع غير المصرح به لمعلومات المستخدم يشكل مخاطر كبيرة على الخصوصية، مما قد يؤدي إلى سرقة الهوية أو عواقب خطيرة أخرى.

تعتمد PUPs بشكل كبير على ممارسات التوزيع المشكوك فيها

تعتمد PUPs بشكل كبير على ممارسات التوزيع المشكوك فيها لاختراق أنظمة المستخدمين دون موافقتهم الصريحة. فيما يلي بعض الأساليب الرئيسية التي يستخدمونها:

• البرامج المجمعة : غالبًا ما يتم تجميع PUPs مع تنزيلات البرامج المشروعة. قد يقوم المستخدمون عن غير قصد بتثبيت PUP جنبًا إلى جنب مع البرنامج المطلوب دون أن يدركوا ذلك، حيث أنهم يميلون إلى التسرع خلال عملية التثبيت دون مراجعة الشروط والأحكام بعناية أو إلغاء تحديد العروض الاختيارية.
• الإعلانات الخادعة : يتم الترويج للبرامج غير المرغوب فيها بشكل متكرر من خلال إعلانات خادعة، والتي قد تظهر كعروض أو عروض ترويجية مشروعة تغري المستخدمين بتنزيل البرنامج وتثبيته. غالبًا ما تستخدم هذه الإعلانات لغة أو صورًا مضللة لخداع المستخدمين للنقر عليها.

بشكل عام، تستخدم PUPs مجموعة متنوعة من ممارسات التوزيع المشكوك فيها للتسلل خلسة إلى أنظمة المستخدمين، والاستفادة من افتقار المستخدمين إلى الوعي والتسرع والثقة في مصادر البرامج. ومن خلال فهم هذه التكتيكات، يمكن للمستخدمين اتخاذ تدابير استباقية لحماية أنفسهم من عمليات تثبيت البرامج غير المرغوب فيها.