Puhverserveri viirus
Puhverserveri viirus, mida nimetatakse ka MITM-i puhverserveri viiruseks, on teatud tüüpi pealetükkiv programm, mis on suunatud Maci kasutajatele. Rakendus on kurikuulus oma brauseri kaaperdamise funktsioonide poolest. Küberkurjategijad kasutavad selle potentsiaalselt soovimatu programmi (PUP) levitamiseks kahtlaseid levitamistehnikaid, mille tulemuseks on sageli vaikne imbumine arvutitesse ilma kasutajate selgesõnalise nõusolekuta. Kasutajate jaoks on oluline mõista, et PUP-id, nagu puhverserveri viirus, võivad toimida reklaamvarana, pommitades kasutajaid pealetükkivate reklaamidega. Lisaks võivad nad sirvimistegevusi salvestada, mis võib kahjustada kasutajate privaatsust ja turvalisust.
Sisukord
Kuidas puhverserveri viirus pärast installimist töötab?
Reklaamvara esialgne installimine näib olevat rutiinne, kuid installimisel näevad kasutajad petlikku hüpikteadet, mis palub neil oma Safari veebibrauserit värskendada. Kui klõpsate nupul „OK”, palub teine hüpikaken kasutajatel sisestada oma konto mandaadid. See näiliselt kahjutu tegevus võib kogemata anda kahtlasele rakendusele loa Safari brauserit juhtida.
Lisaks käivitavad petturlikud installijad 'bash-skripti', mis on loodud kaugserveriga ühendamiseks ja ZIP-arhiivi allalaadimiseks. Pärast allalaadimist arhiiv ekstraktitakse ja selles sisalduv Plist-fail kopeeritakse LaunchDaemonsi kataloogi.
Plist-fail sisaldab viidet teisele failile nimega "Titanium.Web.Proxy.Examples.Basic.Standard". Lisaks käivitatakse pärast järgnevat taaskäivitamist kaks täiendavat skripti ("change_proxy.sh" ja "trust_cert.sh"). Skript "change_proxy.sh" muudab süsteemi puhverserveri sätteid, et kasutada HTTP/S-puhverserverit aadressil "localhost:8003".
Teisest küljest installib skript „trust_cert.sh” võtmehoidjasse usaldusväärse SSL-sertifikaadi. Seda nakatumist korraldavad küberkurjategijad, kes kasutavad Titanium Web Proxyt, avatud lähtekoodiga asünkroonset HTTP(S) puhverserverit, mis on kirjutatud C Sharpis (C#). Eelkõige on Titanium Web Proxy platvormideülene, võimaldades sellel töötada erinevates operatsioonisüsteemides, sealhulgas MacOS-is.
Selle nakkuse peamine eesmärk on kaaperdada otsingumootorid, võimaldades küberkurjategijatel Interneti-otsingu tulemusi manipuleerida. See lähenemisviis erineb võltsitud otsingumootorite tavapärasest kasutamisest; Selle asemel kasutavad küberkurjategijad brauseri kaaperdamise rakendusi, et muuta seadeid, nagu uue vahelehe URL, vaikeotsingumootor ja koduleht, määrates need konkreetsetele URL-idele.
Võltsotsingumootorid ja brauserikaaperdajad suurendavad sageli privaatsus- ja turvariske
Reklaamitud veebisaidid jäljendavad sageli tuntud ja seaduslike otsingumootorite, nagu Bing, Yahoo ja Google, välimust, muutes need esmapilgul tavaliseks. Need võltsitud otsingumootorid võivad aga genereerida otsingutulemusi, mis suunavad kasutajad potentsiaalselt ohtlikele veebisaitidele. Lisaks võivad kasutajad märgata muudatusi oma brauseri seadetes, eriti sagedaste ümbersuunamiste kaudu kahtlastele saitidele, mis annavad märku võimalikust manipuleerimisest.
Kuigi küberkurjategijad seisavad silmitsi väljakutsetega selliste tööriistade nagu puhverserveri viiruse kasutamisel, leiavad nad, et need on oma alatu tegevuse jaoks usaldusväärsemad. Samuti võivad nad võltsitud otsingutulemuste edastamiseks kasutada seaduslike otsingumootorite sisu muutmist. Näiteks kuigi Google'i otsingumootori veebisait näib tervikuna ehtne, sealhulgas URL, päis ja jalus, muudab nakatumine tulemuste jaotist, eksitades kasutajaid uskuma, et nad vaatavad õigeid otsingutulemusi.
Selline petlik käitumine võib kasutajad ohustada mitmesuguste kõrge riskiga infektsioonidega, kuna nad võivad tahtmatult külastada ohtlikke veebisaite. Veelgi enam, küberkurjategijad kasutavad sellist taktikat liikluse suunamiseks konkreetsetele veebisaitidele, võimaldades neil reklaamitulu kaudu kasumit teenida.
Puhverserveri viiruse olemasolu võib sirvimiskogemust tõsiselt häirida ja suurendada edasiste arvutiinfektsioonide tõenäosust. Reklaamvararakendused esitavad tavaliselt reklaame, sealhulgas kuponge, bännereid ja hüpikaknaid, mis võivad kasutajad kahtlastele veebisaitidele ümber suunata.
Lisaks võib reklaamvara olla võimeline koguma tundlikku kasutajateavet, nagu IP-aadressid, külastatud veebisaitide URL-id, vaadatud lehed ja otsingupäringud. Neid andmeid jagatakse sageli kolmandate osapooltega, sealhulgas küberkurjategijatega, kes kasutavad neid rahalise kasu saamiseks. Järelikult kujutab kasutajateabe volitamata jälgimine endast olulisi privaatsusriske, mis võib viia identiteedivarguseni või muude tõsiste tagajärgedeni.
PUPid sõltuvad suuresti küsitavatest levitamistavadest
PUP-id sõltuvad suuresti küsitavatest levitamistavadest, et tungida kasutajate süsteemidesse ilma nende selgesõnalise nõusolekuta. Siin on mõned peamised meetodid, mida nad kasutavad:
- Komplekti kuuluv tarkvara : PUP-id on sageli komplektis seadusliku tarkvara allalaadimisega. Kasutajad võivad tahtmatult installida PUP-i koos soovitud tarkvaraga, ilma seda teadvustamata, kuna nad kipuvad installiprotsessi kiirustama ilma tingimusi hoolikalt üle vaatamata või valikuliste pakkumiste valikuid tühistamata.
- Petlik reklaam : PUP-i reklaamitakse sageli petlike reklaamide kaudu, mis võivad ilmuda seaduslike pakkumiste või reklaamidena, mis meelitavad kasutajaid tarkvara alla laadima ja installima. Need reklaamid kasutavad sageli eksitavat keelt või visuaale, et meelitada kasutajaid neile klõpsama.
Üldiselt kasutavad PUP-id mitmesuguseid küsitavaid levitamisviise, et salaja kasutajate süsteemidesse tungida, kasutades ära kasutajate teadlikkuse puudumist, kiirustamist ja usaldust tarkvaraallikate vastu. Nendest taktikatest aru saades saavad kasutajad võtta ennetavaid meetmeid, et kaitsta end soovimatu tarkvara installimise eest.
